操作系统安全.ppt

第五章 操作系统安全 内容提要内容提要Ü5.1 操作系统可信计算基的构成操作系统可信计算基的构成Ü5.2 操作系统的安全机制操作系统的安全机制Ü5.3 Win2000/XP系统的安全机制简介系统的安全机制简介25.1 操作系统可信计算基的构成操作系统可信计算基的构成ÜÜ操作系统是对软件、硬件资源进行调度控制和信操作系统是对软件、硬件资源进行调度控制和信操作系统是对软件、硬件资源进行调度控制和信操作系统是对软件、硬件资源进行调度控制和信息产生、传递、处理的平台息产生、传递、处理的平台息产生、传递、处理的平台息产生、传递、处理的平台, , , ,其其其其安全性属于系统级安全性属于系统级安全性属于系统级安全性属于系统级安全范畴安全范畴安全范畴安全范畴l l操作系统操作系统操作系统操作系统是其它一切是其它一切是其它一切是其它一切安全机制安全机制安全机制安全机制的基础，是信息系统安全的基础，是信息系统安全的基础，是信息系统安全的基础，是信息系统安全的必要条件，的必要条件，的必要条件，的必要条件，很多安全问题都源于操作系统的安全漏洞很多安全问题都源于操作系统的安全漏洞很多安全问题都源于操作系统的安全漏洞很多安全问题都源于操作系统的安全漏洞ÜÜ操作系统的安全主要体现在身份认证、访问控制操作系统的安全主要体现在身份认证、访问控制操作系统的安全主要体现在身份认证、访问控制操作系统的安全主要体现在身份认证、访问控制和信息流控制等方面。

和信息流控制等方面和信息流控制等方面和信息流控制等方面l l访问控制决定了用户对系统资源访问权限，是操作系统访问控制决定了用户对系统资源访问权限，是操作系统访问控制决定了用户对系统资源访问权限，是操作系统访问控制决定了用户对系统资源访问权限，是操作系统安全的核心技术安全的核心技术安全的核心技术安全的核心技术35.1 操作系统可信计算基的构成操作系统可信计算基的构成Ü构成操作系统可信计算基的核心是构成操作系统可信计算基的核心是参照监视器参照监视器Ü1.参照监视器参照监视器l是一种抽象的概念，是访问控制的基础是一种抽象的概念，是访问控制的基础l参照监视器依据访问控制数据库中的规则，验证主体对参照监视器依据访问控制数据库中的规则，验证主体对客体的每一次访问，按规则支持或禁止访问，并将成功客体的每一次访问，按规则支持或禁止访问，并将成功与否的访问按照策略要求存入审计系统中与否的访问按照策略要求存入审计系统中45.1 操作系统可信计算基的构成操作系统可信计算基的构成Ü2. 安全内核安全内核l安全内核是实现参照监视器概念的一种技术，是安全内核是实现参照监视器概念的一种技术，是指系统中与安全性实现有关的部分，包括：指系统中与安全性实现有关的部分，包括：l引用验证机制、访问控制机制、授权机制和授权管理引用验证机制、访问控制机制、授权机制和授权管理机制等机制等l一般的，人们趋向把安全内核与参照监视器等同一般的，人们趋向把安全内核与参照监视器等同起来起来l安全内核实际上可以看成一个更小的操作系统，安全内核实际上可以看成一个更小的操作系统，具备了操作系统的全部能力具备了操作系统的全部能力55.1操作系统可信计算基的构成操作系统可信计算基的构成Ü3. 安全内核安全内核在实现上有两种情况在实现上有两种情况l1）安全内核与其它功能部分完全一体的操作系统）安全内核与其它功能部分完全一体的操作系统6Ü3. 安全内核安全内核在实现上有两种情况在实现上有两种情况l2）安全内核是操作系统的一部分）安全内核是操作系统的一部分l安全内核由安全内核由硬件硬件和和介于硬件和操作系统之间的一层软件介于硬件和操作系统之间的一层软件组成。

组成l安全内核的软件和硬件认为是可信的，处于安全周界的内部，但安全内核的软件和硬件认为是可信的，处于安全周界的内部，但操作系统和应用程序均处于安全周界之外操作系统和应用程序均处于安全周界之外5.1操作系统可信计算基的构成操作系统可信计算基的构成75.2 操作系统的安全机制操作系统的安全机制ÜÜ操作系统安全的目标操作系统安全的目标操作系统安全的目标操作系统安全的目标 l l标识系统中的用户并进行身份鉴别标识系统中的用户并进行身份鉴别标识系统中的用户并进行身份鉴别标识系统中的用户并进行身份鉴别l l依据系统安全策略对用户的操作进行存取控制依据系统安全策略对用户的操作进行存取控制依据系统安全策略对用户的操作进行存取控制依据系统安全策略对用户的操作进行存取控制l l监督系统运行的安全监督系统运行的安全监督系统运行的安全监督系统运行的安全l l保证系统自身的安全性和完整性保证系统自身的安全性和完整性保证系统自身的安全性和完整性保证系统自身的安全性和完整性ÜÜ为了实现操作系统安全的目标，需要建立相应的为了实现操作系统安全的目标，需要建立相应的为了实现操作系统安全的目标，需要建立相应的为了实现操作系统安全的目标，需要建立相应的安全机制，包括：安全机制，包括：安全机制，包括：安全机制，包括：l隔离控制、硬件保护、用户认证、访问控制等隔离控制、硬件保护、用户认证、访问控制等85.2.1 隔离机制隔离机制Ü隔离机制是解决进程控制、内存保护的有效方法隔离机制是解决进程控制、内存保护的有效方法Ü1.1.隔离控制的方法有四种：隔离控制的方法有四种：ÜÜ ①①①① 物理隔离。

物理隔离物理隔离物理隔离在物理设备或部件一级进行隔离，使不同在物理设备或部件一级进行隔离，使不同在物理设备或部件一级进行隔离，使不同在物理设备或部件一级进行隔离，使不同的用户程序使用不同的物理对象的用户程序使用不同的物理对象的用户程序使用不同的物理对象的用户程序使用不同的物理对象l l如不同安全级别的用户分配不同的打印机，特殊用户保如不同安全级别的用户分配不同的打印机，特殊用户保如不同安全级别的用户分配不同的打印机，特殊用户保如不同安全级别的用户分配不同的打印机，特殊用户保密级运算可以在密级运算可以在密级运算可以在密级运算可以在CPUCPU一级进行隔离，使用专用的一级进行隔离，使用专用的一级进行隔离，使用专用的一级进行隔离，使用专用的CPUCPU运算运算运算运算 ÜÜ ②②②② 时间隔离时间隔离时间隔离时间隔离对不同安全要求的用户进程分配不同的运对不同安全要求的用户进程分配不同的运对不同安全要求的用户进程分配不同的运对不同安全要求的用户进程分配不同的运行时间段行时间段行时间段行时间段l l对于用户运算高密级信息时，甚至独占计算机进行运算对于用户运算高密级信息时，甚至独占计算机进行运算对于用户运算高密级信息时，甚至独占计算机进行运算对于用户运算高密级信息时，甚至独占计算机进行运算9ÜÜ③③③③ 逻辑隔离。

逻辑隔离逻辑隔离逻辑隔离多个用户进程可以同时运行，但相互之间感多个用户进程可以同时运行，但相互之间感多个用户进程可以同时运行，但相互之间感多个用户进程可以同时运行，但相互之间感觉不到其他用户进程的存在觉不到其他用户进程的存在觉不到其他用户进程的存在觉不到其他用户进程的存在l l这是因为操作系统限定各进程的运行区域，不允许进程访问其他未这是因为操作系统限定各进程的运行区域，不允许进程访问其他未这是因为操作系统限定各进程的运行区域，不允许进程访问其他未这是因为操作系统限定各进程的运行区域，不允许进程访问其他未被允许的区域被允许的区域被允许的区域被允许的区域 ÜÜ④ ④ ④ ④ 加密隔离加密隔离加密隔离加密隔离进程把自己的数据和计算活动隐蔽起来，使进程把自己的数据和计算活动隐蔽起来，使进程把自己的数据和计算活动隐蔽起来，使进程把自己的数据和计算活动隐蔽起来，使他们对于其他进程是不可见的他们对于其他进程是不可见的他们对于其他进程是不可见的他们对于其他进程是不可见的l l对用户的口令信息或文件数据以密码形式存储，使其他用户无法访对用户的口令信息或文件数据以密码形式存储，使其他用户无法访对用户的口令信息或文件数据以密码形式存储，使其他用户无法访对用户的口令信息或文件数据以密码形式存储，使其他用户无法访问，也是加密隔离控制措施。

问，也是加密隔离控制措施问，也是加密隔离控制措施问，也是加密隔离控制措施 ÜÜ这几种隔离措施实现的复杂性是逐步递增的，这几种隔离措施实现的复杂性是逐步递增的，这几种隔离措施实现的复杂性是逐步递增的，这几种隔离措施实现的复杂性是逐步递增的，而它们的而它们的而它们的而它们的安全安全安全安全性则是逐步递减的性则是逐步递减的性则是逐步递减的性则是逐步递减的. . . .ÜÜ前两种方法的安全性是比较高的，但会降低硬件资源的利用前两种方法的安全性是比较高的，但会降低硬件资源的利用前两种方法的安全性是比较高的，但会降低硬件资源的利用前两种方法的安全性是比较高的，但会降低硬件资源的利用率后两种隔离方法主要依赖操作系统的功能实现后两种隔离方法主要依赖操作系统的功能实现后两种隔离方法主要依赖操作系统的功能实现后两种隔离方法主要依赖操作系统的功能实现5.2.1隔离机制隔离机制105.2.2 硬件的保护机制硬件的保护机制Ü计算机硬件的安全目标是保证其自身的可靠性并为计算机硬件的安全目标是保证其自身的可靠性并为系统提供基本的安全机制主要包括：存储器保护、系统提供基本的安全机制主要包括：存储器保护、运行保护、输入运行保护、输入/ /输出保护等输出保护等ÜÜ1. 1. 存储器保护存储器保护存储器保护存储器保护l l保护用户在存储器中的数据的安全保护用户在存储器中的数据的安全保护用户在存储器中的数据的安全保护用户在存储器中的数据的安全l l具体要求具体要求具体要求具体要求l l防止用户对操作系统的影响防止用户对操作系统的影响防止用户对操作系统的影响防止用户对操作系统的影响l l各用户进程应相互隔离各用户进程应相互隔离各用户进程应相互隔离各用户进程应相互隔离l l应禁止用户模式下对系统段进行写操作应禁止用户模式下对系统段进行写操作应禁止用户模式下对系统段进行写操作应禁止用户模式下对系统段进行写操作11ÜÜ(1)(1)(1)(1)单用户内存保护问题单用户内存保护问题单用户内存保护问题单用户内存保护问题l l用户程序运行时不能跨越地址界限寄存器（基址寄存器）用户程序运行时不能跨越地址界限寄存器（基址寄存器）用户程序运行时不能跨越地址界限寄存器（基址寄存器）用户程序运行时不能跨越地址界限寄存器（基址寄存器）l l无法分隔不同用户的程序无法分隔不同用户的程序无法分隔不同用户的程序无法分隔不同用户的程序     系统区系统区系统区系统区      用户区用户区用户区用户区   （内存）（内存）（内存）（内存）界限寄存器界限寄存器界限寄存器界限寄存器单用户内存保护单用户内存保护单用户内存保护单用户内存保护 5.2.2 硬件的保护机制硬件的保护机制12ÜÜ(2)(2)(2)(2)多道程序的保护多道程序的保护多道程序的保护多道程序的保护 l l在基址寄存器基础上再增加一个寄存器保存用户程序的在基址寄存器基础上再增加一个寄存器保存用户程序的在基址寄存器基础上再增加一个寄存器保存用户程序的在基址寄存器基础上再增加一个寄存器保存用户程序的上边界地址上边界地址上边界地址上边界地址l l使用多对基址和边界寄存器，还可把用户的可读写数据使用多对基址和边界寄存器，还可把用户的可读写数据使用多对基址和边界寄存器，还可把用户的可读写数据使用多对基址和边界寄存器，还可把用户的可读写数据区与只读数据区和程序区互相隔离区与只读数据区和程序区互相隔离区与只读数据区和程序区互相隔离区与只读数据区和程序区互相隔离5.2.2 硬件的保护机制硬件的保护机制多道程序的保护多道程序的保护多道程序的保护多道程序的保护 系统区系统区系统区系统区 程序程序程序程序R R内存区内存区内存区内存区 程序程序程序程序S S内存区内存区内存区内存区 程序程序程序程序T T内存区内存区内存区内存区 基地址寄存器基地址寄存器基地址寄存器基地址寄存器边界址寄存器边界址寄存器边界址寄存器边界址寄存器基地址寄存器基地址寄存器基地址寄存器基地址寄存器2 2边界址寄存器边界址寄存器边界址寄存器边界址寄存器2 213ÜÜ(3) (3) (3) (3) 标记保护法标记保护法标记保护法标记保护法l l能对每个存储单元按其内能对每个存储单元按其内能对每个存储单元按其内能对每个存储单元按其内容要求进行保护容要求进行保护容要求进行保护容要求进行保护，例如有，例如有，例如有，例如有的单元只读，读的单元只读，读的单元只读，读的单元只读，读/ / / /写、或仅写、或仅写、或仅写、或仅执行（代码单元）等不同执行（代码单元）等不同执行（代码单元）等不同执行（代码单元）等不同要求，可以在每个内存字要求，可以在每个内存字要求，可以在每个内存字要求，可以在每个内存字单元中专用几个比特来标单元中专用几个比特来标单元中专用几个比特来标单元中专用几个比特来标记该字单元的属性。

记该字单元的属性记该字单元的属性记该字单元的属性l l其中其中其中其中E E表示执行，表示执行，表示执行，表示执行，R R表示读，表示读，表示读，表示读，WW表示写，表示写，表示写，表示写，OROR表示只读表示只读表示只读表示只读5.2.2 硬件的保护机制硬件的保护机制加标记的内存加标记的内存加标记的内存加标记的内存 E                    E                    代码代码代码代码E                    E                    代码代码代码代码E                    E                    代码代码代码代码E                    E                    代码代码代码代码RW                RW                数据数据数据数据OR                 OR                 数据数据数据数据………………..……………….. 14ÜÜ(4) (4) (4) (4) 分段与分页技术分段与分页技术分段与分页技术分段与分页技术l l稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程），稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程），稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程），稍微复杂一些的用户程序，通常按功能划分成若干个模块（过程），以模块为单位对程序进行分段，可以实现对程序的不同片段分别保护以模块为单位对程序进行分段，可以实现对程序的不同片段分别保护以模块为单位对程序进行分段，可以实现对程序的不同片段分别保护以模块为单位对程序进行分段，可以实现对程序的不同片段分别保护的目标的目标的目标的目标l l但各段长度不同，个别段还有尺寸要求增大的要求，内存管理困难但各段长度不同，个别段还有尺寸要求增大的要求，内存管理困难但各段长度不同，个别段还有尺寸要求增大的要求，内存管理困难但各段长度不同，个别段还有尺寸要求增大的要求，内存管理困难l l分页是分页是分页是分页是把目标程序与内存都划分成相同大小的片段把目标程序与内存都划分成相同大小的片段把目标程序与内存都划分成相同大小的片段把目标程序与内存都划分成相同大小的片段，解决了碎片问题，，解决了碎片问题，，解决了碎片问题，，解决了碎片问题，但没有像段那样完整的意义但没有像段那样完整的意义但没有像段那样完整的意义但没有像段那样完整的意义无法指定各页的访问控制要求无法指定各页的访问控制要求无法指定各页的访问控制要求无法指定各页的访问控制要求l l将分页与分段技术结合起来使用将分页与分段技术结合起来使用将分页与分段技术结合起来使用将分页与分段技术结合起来使用l l由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页由程序员按计算逻辑把程序划分为段，再由操作系统把段划分为页l l属于相同段的页还可用密码保护，只有拥有正确的密钥才能访问页属于相同段的页还可用密码保护，只有拥有正确的密钥才能访问页属于相同段的页还可用密码保护，只有拥有正确的密钥才能访问页属于相同段的页还可用密码保护，只有拥有正确的密钥才能访问页5.2.2 硬件的保护机制硬件的保护机制15Ü2.2.运行保护运行保护l基本要求是：在进程运行基本要求是：在进程运行的区域内的区域内( (运行域运行域) )实行不同实行不同的安全等级的保护机制的安全等级的保护机制。

图图(a)(a)所示的是一个两域所示的是一个两域( (两两环环) )的运行保护，图的运行保护，图(b)(b)是多是多域情况下的运行保护域情况下的运行保护l两环系统的目的是隔离系两环系统的目的是隔离系统运行域与用户运行域统运行域与用户运行域a)(a)中大写字母表示系统运中大写字母表示系统运行域，小写表示用户的运行域，小写表示用户的运行域行域5.2.2 硬件的保护机制硬件的保护机制16Ü3.I/O保护保护lI/O操作不是从系统中读，就是向系统中写，所以操作不是从系统中读，就是向系统中写，所以对对I/O保保护的应该是对读写的访问控制护的应该是对读写的访问控制 I/O介质输出访问控制最介质输出访问控制最简单的方式是简单的方式是将设备看作一个客体将设备看作一个客体Ü4.4.最小特权管理最小特权管理l特权：可违反安全策略的操作能力特权：可违反安全策略的操作能力l管理的基本思想：管理的基本思想：不应该给用户超过执行任务所需要的特不应该给用户超过执行任务所需要的特权以外的特权权以外的特权l如如将超级用户特权划分为一级粒度更细小的特权将超级用户特权划分为一级粒度更细小的特权以减少各种特权用户的权力各种特权用户的权力l系统管理员系统管理员SSO，审计员，审计员AUD，操作员，操作员OP，安全操作员，安全操作员SOP，，网网络管理员络管理员(NET)(NET)5.2.2 硬件的保护机制硬件的保护机制17Ü5.5.安全审计的实现安全审计的实现l在操作系统的安全内核内部和外部均设置相关的在操作系统的安全内核内部和外部均设置相关的审计点审计点，，当用户请示系统服务时，必须经过系统调用，如果当用户请示系统服务时，必须经过系统调用，如果能够能够找到系统调用的总入口找到系统调用的总入口( (审计点审计点) )增加审计控制增加审计控制，就成功，就成功地完成了审计。

地完成了审计5.2.2 硬件的保护机制硬件的保护机制185.2.3 用户鉴别与口令用户鉴别与口令 ÜÜ用户认证用户认证用户认证用户认证( ( ( (鉴别鉴别鉴别鉴别) ) ) )的任务是确认当前正在试图登录的任务是确认当前正在试图登录的任务是确认当前正在试图登录的任务是确认当前正在试图登录进入系统的用户就是账户数据库中记录的那个用进入系统的用户就是账户数据库中记录的那个用进入系统的用户就是账户数据库中记录的那个用进入系统的用户就是账户数据库中记录的那个用户认证用户的方法一般有三种：户认证用户的方法一般有三种：户认证用户的方法一般有三种：户认证用户的方法一般有三种：l l（（（（1 1 1 1）要求输入一些保密信息，如用户的姓名、通行字）要求输入一些保密信息，如用户的姓名、通行字）要求输入一些保密信息，如用户的姓名、通行字）要求输入一些保密信息，如用户的姓名、通行字或加密密钥等或加密密钥等或加密密钥等或加密密钥等l l（（（（2 2 2 2）利用用户生物特征，如指纹、声音、视网膜等识）利用用户生物特征，如指纹、声音、视网膜等识）利用用户生物特征，如指纹、声音、视网膜等识）利用用户生物特征，如指纹、声音、视网膜等识别技术对用户进行唯一的识别。

别技术对用户进行唯一的识别别技术对用户进行唯一的识别别技术对用户进行唯一的识别l l（（（（3 3 3 3）稍微复杂一些鉴别方法，如询问）稍微复杂一些鉴别方法，如询问）稍微复杂一些鉴别方法，如询问）稍微复杂一些鉴别方法，如询问————应答系统、采应答系统、采应答系统、采应答系统、采用物理识别设备（如访问卡、钥匙或令牌标记）等方用物理识别设备（如访问卡、钥匙或令牌标记）等方用物理识别设备（如访问卡、钥匙或令牌标记）等方用物理识别设备（如访问卡、钥匙或令牌标记）等方法法法法19ÜÜ口令认证方法口令认证方法口令认证方法口令认证方法l l口令是一种口令是一种口令是一种口令是一种容易实现容易实现容易实现容易实现的用户鉴别方法，的用户鉴别方法，的用户鉴别方法，的用户鉴别方法，破解口令是黑客们攻击系统的破解口令是黑客们攻击系统的破解口令是黑客们攻击系统的破解口令是黑客们攻击系统的常用手段在实际环境中弱口令比较常见常用手段在实际环境中弱口令比较常见常用手段在实际环境中弱口令比较常见常用手段在实际环境中弱口令比较常见Ü口令的种类口令的种类l鉴别和认证系统用户应该包含输入用户名和口令两个步骤鉴别和认证系统用户应该包含输入用户名和口令两个步骤。

l口令有三种类型口令有三种类型l静态口令静态口令是具有或没有有效期限制是具有或没有有效期限制可以重用的一般口令可以重用的一般口令无论是用无论是用户自行创建还是系统自动创建，传统（静态）口令都难以记忆户自行创建还是系统自动创建，传统（静态）口令都难以记忆l动态口令动态口令可以由口令产生设备随时或者根据用户要求更改一次性可以由口令产生设备随时或者根据用户要求更改一次性（动态）口令只能使用一次动态）口令只能使用一次l认知口令认知口令(类似于密保问题类似于密保问题)使用基于事实或基于选项的认知数据做使用基于事实或基于选项的认知数据做为用户认证的基础认知口令依赖于个人的知识和经验实现认知为用户认证的基础认知口令依赖于个人的知识和经验实现认知口令认证用户可能会花费更多的时间和金钱只有用户知晓的认知口令认证用户可能会花费更多的时间和金钱只有用户知晓的认知问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测问答的例子，如提示性问题等，认知口令容易记忆而且难以猜测5.2.3 用户鉴别与口令用户鉴别与口令 20Ü是系统安全防护的核心技术是系统安全防护的核心技术Ü常规系统都采用常规系统都采用DAC+少量的少量的MACl访问控制表使用居多访问控制表使用居多Ü具体技术原理参考第二章的内容具体技术原理参考第二章的内容5.2.4 访问控制访问控制 215.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 ÜÜWindows 2000(XP)Windows 2000(XP)操作系统是操作系统是建立在一套完建立在一套完整的安全机制上的整的安全机制上的，，因而任何一个机构，在因而任何一个机构，在使用使用Windows 2000(XP)Windows 2000(XP)前都必须指定它们的前都必须指定它们的安全策略。

安全策略l l这些这些这些这些策略详细说明该机构对登录机制、访问控制、策略详细说明该机构对登录机制、访问控制、策略详细说明该机构对登录机制、访问控制、策略详细说明该机构对登录机制、访问控制、信息保护及审核的要求信息保护及审核的要求信息保护及审核的要求信息保护及审核的要求用户必须熟知这些机制用户必须熟知这些机制用户必须熟知这些机制用户必须熟知这些机制才能达到安全才能达到安全才能达到安全才能达到安全22ÜÜ1 1 1 1．．．．WindowsWindowsWindowsWindows系统的安全组件，包括以下内容系统的安全组件，包括以下内容系统的安全组件，包括以下内容系统的安全组件，包括以下内容l l自主访问控制自主访问控制自主访问控制自主访问控制(Discretion Access Control)(Discretion Access Control)(Discretion Access Control)(Discretion Access Control)l l允许对象所有者控制谁被允许访问该对象以及访问的方式允许对象所有者控制谁被允许访问该对象以及访问的方式允许对象所有者控制谁被允许访问该对象以及访问的方式允许对象所有者控制谁被允许访问该对象以及访问的方式l l客体重用客体重用客体重用客体重用(Object Reuse)(Object Reuse)(Object Reuse)(Object Reuse)l l当资源当资源当资源当资源( ( ( (内存、磁盘等内存、磁盘等内存、磁盘等内存、磁盘等) ) ) )被某应用访问时，被某应用访问时，被某应用访问时，被某应用访问时，WindowsWindowsWindowsWindows禁止所有的系统应用访问该资源禁止所有的系统应用访问该资源禁止所有的系统应用访问该资源禁止所有的系统应用访问该资源 l l强制登录强制登录强制登录强制登录(Mandatory log on)(Mandatory log on)(Mandatory log on)(Mandatory log on)l l要求所有用户必须登陆，通过认证后才可以访问资源要求所有用户必须登陆，通过认证后才可以访问资源要求所有用户必须登陆，通过认证后才可以访问资源要求所有用户必须登陆，通过认证后才可以访问资源l l审计审计审计审计(auditing)(auditing)(auditing)(auditing)l l在控制用户访问资源的同时，对这些访问做了相应的记录在控制用户访问资源的同时，对这些访问做了相应的记录在控制用户访问资源的同时，对这些访问做了相应的记录在控制用户访问资源的同时，对这些访问做了相应的记录l l客体的访问控制客体的访问控制客体的访问控制客体的访问控制(Control of Access to Object)(Control of Access to Object)(Control of Access to Object)(Control of Access to Object) l l不不不不允允允允许许许许直直直直接接接接访访访访问问问问系系系系统统统统的的的的某某某某些些些些资资资资源源源源，，，，必必必必须须须须是是是是该该该该资资资资源源源源允允允允许许许许被被被被访访访访问问问问，，，，然然然然后后后后是是是是用用用用户户户户或应用通过第一次认证后再访问或应用通过第一次认证后再访问或应用通过第一次认证后再访问或应用通过第一次认证后再访问5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 23WinlogonGINALSASSPIAuthentication PackagesSecurity Surpport ProviderSecurity Account ManagementNetlogon安全支持提供者的接口安全支持提供者的接口安全支持提供者的接口安全支持提供者的接口提供登录接口提供登录接口提供登录接口提供登录接口加载加载加载加载GINAGINA，监视认证顺序，监视认证顺序，监视认证顺序，监视认证顺序本地安全权威，加载认证包本地安全权威，加载认证包本地安全权威，加载认证包本地安全权威，加载认证包支持额外的验证机制支持额外的验证机制支持额外的验证机制支持额外的验证机制管理用户账号和口令，以及用户证书的数据库管理用户账号和口令，以及用户证书的数据库管理用户账号和口令，以及用户证书的数据库管理用户账号和口令，以及用户证书的数据库为网络认证建立安全通道为网络认证建立安全通道为网络认证建立安全通道为网络认证建立安全通道提供真正的用户校验提供真正的用户校验提供真正的用户校验提供真正的用户校验5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 2 2．．．．WindowsWindows安全子系安全子系安全子系安全子系统统统统可用指纹、虹膜等代替可用指纹、虹膜等代替令牌令牌策略策略账号账号权限权限信任关系信任关系24Ü1) 1) WinlogonWinlogon and GINA and GINAlWinlogonWinlogon调用调用GINA DLLGINA DLL，并监视安全认证序列。

并监视安全认证序列lGINA DLLGINA DLL提供一个交互式界面为用户登陆提供认证请求提供一个交互式界面为用户登陆提供认证请求lGINA DLLGINA DLL被设计成一个独立的模块，可用指纹、虹膜等更强的认被设计成一个独立的模块，可用指纹、虹膜等更强的认证方式替换之证方式替换之lWinlogonWinlogon在注册表中查找在注册表中查找\HKLM\Software\Microsoft\Windows NT\Current \HKLM\Software\Microsoft\Windows NT\Current Version\Version\WinlogonWinlogon，，l如果存在如果存在GINA DLLGINA DLL键，键，WinlogonWinlogon将使用这个将使用这个DLLDLLl这可以使用户额外配置的这可以使用户额外配置的GINAGINA，比如指纹读取，比如指纹读取l如果不存在该键，如果不存在该键，WinlogonWinlogon将使用默认值将使用默认值MSGINA.DLLMSGINA.DLL5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 25Ü2)2)本地安全权威本地安全权威lLSALSA是一个被保护的子系统，负责以下任务：调是一个被保护的子系统，负责以下任务：调用所有的认证包，检查注册表下用所有的认证包，检查注册表下\HKLM\SYSTEM\\HKLM\SYSTEM\CurrentControlSetCurrentControlSet\Cont\Control \LSArol \LSA下下AuthenticationPackagesAuthenticationPackages下的值，下的值，并调用该并调用该DLLDLL进行认证进行认证(MSV_1.DLL)(MSV_1.DLL)。

在在4.04.0版版本中，本中，Windows NTWindows NT会寻找会寻找\HKLM\SYSTEM\\HKLM\SYSTEM\CurrentControlSetCurrentControlSet\Cont\Control\LSArol\LSA下所有存在的下所有存在的SecurityPackagesSecurityPackages值并值并调用调用5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 26l本地安全权威的功能和作用本地安全权威的功能和作用l重新找回本地组的重新找回本地组的SIDsSIDs和用户的权限和用户的权限l创建用户的访问令牌创建用户的访问令牌l管理本地安装的服务所使用的服务帐号管理本地安装的服务所使用的服务帐号l存储和映射用户权限存储和映射用户权限l管理审核的策略和设置管理审核的策略和设置l管理信任关系管理信任关系Ü3 3）安全支持提供者的接口）安全支持提供者的接口l微软的该接口很简单地遵循微软的该接口很简单地遵循RFC2743RFC2743和和RFC2744RFC2744的的定义，提供一些安全服务的定义，提供一些安全服务的APIAPI为应用程序和服务提供为应用程序和服务提供请求安全的认证连接的方法请求安全的认证连接的方法5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 27Ü4) 4) 认证包认证包l可以为真实用户提供认证。

通过可以为真实用户提供认证通过GINADLLGINADLL上的可信认证上的可信认证后，认证包返回用户的后，认证包返回用户的SIDsSIDs给给LSALSA，然后将其放在用户，然后将其放在用户的访问令牌中的访问令牌中Ü5) 5) 安全支持提供者安全支持提供者l是以驱动的形式安装的，能够实现一些附加的安全机制，是以驱动的形式安装的，能够实现一些附加的安全机制，默认情况下，默认情况下，Windows NTWindows NT安装了以下三种安装了以下三种lMsnsspc.dllMsnsspc.dll：微软网络挑战－响应认证模块：微软网络挑战－响应认证模块lMspsscpc.dllMspsscpc.dll：分布式密码认证挑战－响应模块，也可：分布式密码认证挑战－响应模块，也可在微软网络中使用在微软网络中使用lSchannel.dllSchannel.dll：该认证模块使用某些证书方式经常在使：该认证模块使用某些证书方式经常在使用用SSLSSL和和PCT(privatePCT(private communication technology) communication technology)协协议通信的时候用到议通信的时候用到5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 28Ü6)6)网络登录网络登录lNetlogonNetlogon服务服务必须在通过认证后建立一个安全通道。

必须在通过认证后建立一个安全通道要实现这个目标，必须通过安全通道与域中的域控制器要实现这个目标，必须通过安全通道与域中的域控制器建立连接建立连接，然后，，然后，再通过安全的通道传递用户的口令再通过安全的通道传递用户的口令，，在域的域控制器上响应请求后，重新取回用户的在域的域控制器上响应请求后，重新取回用户的SIDsSIDs和用户权限和用户权限Ü7)7)安全帐户管理器安全帐户管理器l是用来保存用户帐号和口令的数据库保存了注册表中是用来保存用户帐号和口令的数据库保存了注册表中\HKLM\Security\Sam\HKLM\Security\Sam中的一部分内容不同的域有中的一部分内容不同的域有不同的不同的SAMSAM，在域复制的过程中，，在域复制的过程中，SAMSAM包将会被复制包将会被复制l查看注册表的命令，在命令行上键入查看注册表的命令，在命令行上键入regedit5.3 Win2000(XP)系统的安全机制简介系统的安全机制简介 29主讲教师：董庆宽研究方向：密码学与信息安全Email ：qkdong@手 机：15339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第六章 网络安全 内容提要内容提要Ü6.1 OSI开放系统互联安全体系结构开放系统互联安全体系结构Ü6.3.1 Kerberos协议－应用层安协议－应用层安全协议标准全协议标准Ü6.3.2 SSL协议－传输层与应用层协议－传输层与应用层之间之间Ü6.3.3 IPSec协议－网络层标准协议－网络层标准 31Ü该结构即著名的该结构即著名的ISO/OSI安全体系结构。

安全体系结构lOSI安全体系结构是一个普遍适用的安全体系结构，其安全体系结构是一个普遍适用的安全体系结构，其核心内容是保证异构计算机系统进程与进程之间远距离核心内容是保证异构计算机系统进程与进程之间远距离交换信息的安全交换信息的安全l它是国际标准化组织它是国际标准化组织ISO于于1989年在对年在对OSI开放系统互开放系统互联环境的安全性进行深入研究的基础上提出的联环境的安全性进行深入研究的基础上提出的ISO-7498-2(开放系统互联安全体系结构开放系统互联安全体系结构)和和RFC2401/4301 (Internet安全体系结构安全体系结构),即即IPSec））ÜISO-7498-2是七层协议之上的信息安全体系结构，是七层协议之上的信息安全体系结构，解决互联网络安全问题解决互联网络安全问题6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述32ÜOSI安全体系结构的基本思想是：安全体系结构的基本思想是：l为了全面而准确地满足一个开放系统的安全需求，必须为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。

理，以及它们在系统上的合理部署和关系配置Ü该体系结构具体提出该体系结构具体提出l设计安全信息系统的基础架构中应该包含的五类安全服设计安全信息系统的基础架构中应该包含的五类安全服务务(安全功能安全功能)；；l能够对这五类安全服务提供支持的八类安全机制和五种能够对这五类安全服务提供支持的八类安全机制和五种普遍安全机制；普遍安全机制；l三种三种OSI安全管理方式安全管理方式Ü该体系还将这些服务和机制与七层协议进行映射该体系还将这些服务和机制与七层协议进行映射6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述33作为网络协议安全体作为网络协议安全体系架构，主要针对的系架构，主要针对的是数据安全，所以提是数据安全，所以提供的五个安全服务也供的五个安全服务也都是针对数据的都是针对数据的6.1 6.1 开放系统互联安全体系结构概述开放系统互联安全体系结构概述34链路层链路层L2F第二层转发协议第二层转发协议L2TP第二层隧道协议第二层隧道协议PPTP点对点隧道协议点对点隧道协议隧隧道道技技术术协议组协议组DiffServ区分服务区分服务体系结构体系结构GRE通通用用路路由由封装封装IPsecIP层层协协议议安全结构安全结构网络层网络层安全路由选择协议组安全路由选择协议组传输层传输层TLS安全传输层协议安全传输层协议SSH-TRANS安全外壳传输层协议安全外壳传输层协议SSH-USERAUTH安全外壳用户认证协议安全外壳用户认证协议SSL安全套接字层协议安全套接字层协议SOCKS防防火火墙墙安安全全会会话话转换协议转换协议S-HTTP安全超文本传输协议安全超文本传输协议PGP完备保密性协议完备保密性协议S/MIME多用途网际邮件扩充协议多用途网际邮件扩充协议应用层应用层Kerberos网络认证协议网络认证协议RADIUS远程用户拨入认证系统远程用户拨入认证系统TCP传输控制协议传输控制协议UDP用户数据报协议用户数据报协议 AH IPsec认认证证头协议头协议ESPIPsec封封装装安全载荷安全载荷IKEv2密密钥钥交交换换协议协议IP网络协议网络协议SSH-CONNECT安全远程登录连接协议安全远程登录连接协议各各层层安安全全协协议议详详图图356.2 Kerberos协议协议36Ü这个过程可以通过如下的例子来理解这个过程可以通过如下的例子来理解l把西电网络看成一个提供网页、邮件、把西电网络看成一个提供网页、邮件、FTP、、数据库等多个服务的网络数据库等多个服务的网络l有一个认证中心在网络中心，负责对每一个用有一个认证中心在网络中心，负责对每一个用户的登陆认证户的登陆认证l每一个西电用户都在认证中心注册了自己的账号每一个西电用户都在认证中心注册了自己的账号l有一个票据服务器也在网络中心，用于对每一有一个票据服务器也在网络中心，用于对每一种服务的接入授权。

用户必须持有认证中心颁种服务的接入授权用户必须持有认证中心颁发的票据才能访问票据服务器发的票据才能访问票据服务器6.2 Kerberos协议协议37Ü用户用户Alice想要访问西电的想要访问西电的FTP服务器，则采用如下步骤服务器，则采用如下步骤l（（1）如果）如果Alice还未登陆系统，则首先向认证中心认证，还未登陆系统，则首先向认证中心认证，完成登陆认证并请求访问票据许可服务器，认证中心完成登陆认证并请求访问票据许可服务器，认证中心在检验了用户身份后发给在检验了用户身份后发给Alice一个访问票据许可服务一个访问票据许可服务器的票据，如果已经登陆则不需此步骤器的票据，如果已经登陆则不需此步骤l（（2）如果）如果Alice要访问一个服务，如要访问一个服务，如FTP，但还没有被，但还没有被授权访问，则将认证中心的票据及要访问的服务提交给授权访问，则将认证中心的票据及要访问的服务提交给票据许可服务器，认证后票据许可服务器发给票据许可服务器，认证后票据许可服务器发给Alice一一个服务许可票据，用于访问个服务许可票据，用于访问FTP服务器，如果已经有有服务器，如果已经有有效票据则不需此步骤。

效票据则不需此步骤l（（3））Alice要访问要访问FTP服务，在每次会话建立前，将服服务，在每次会话建立前，将服务许可票据提交给务许可票据提交给FTP服务器，验证后即可访问资源服务器，验证后即可访问资源6.2 Kerberos协议协议386.3 安全套接字安全套接字层层SSL协议协议ÜÜSSL(SecuritySSL(Security Socket Layer) Socket Layer)是是是是NetscapeNetscape公司于公司于公司于公司于19961996年推年推年推年推出的基于出的基于出的基于出的基于WebWeb应用的安全协议，它为网络应用层的通信提应用的安全协议，它为网络应用层的通信提应用的安全协议，它为网络应用层的通信提应用的安全协议，它为网络应用层的通信提供了认证、数据保密和数据完整性的服务，较好地解决了供了认证、数据保密和数据完整性的服务，较好地解决了供了认证、数据保密和数据完整性的服务，较好地解决了供了认证、数据保密和数据完整性的服务，较好地解决了InternetInternet上上上上数据安全传输数据安全传输数据安全传输数据安全传输的问题 l lSSLSSL的主要目的是为网络环境中两个通信应用进程（的主要目的是为网络环境中两个通信应用进程（的主要目的是为网络环境中两个通信应用进程（的主要目的是为网络环境中两个通信应用进程（ClientClient与与与与ServerServer）之间提供一个安全通道。

之间提供一个安全通道之间提供一个安全通道之间提供一个安全通道l l目前已推出目前已推出目前已推出目前已推出2.02.0和和和和3.03.0版本版本版本版本ÜÜ采用公钥密码体制和采用公钥密码体制和采用公钥密码体制和采用公钥密码体制和X.509X.509数字证书技术，进行实体身份认数字证书技术，进行实体身份认数字证书技术，进行实体身份认数字证书技术，进行实体身份认证和会话密钥协商证和会话密钥协商证和会话密钥协商证和会话密钥协商ÜÜ采用对称密码算法加密采用对称密码算法加密采用对称密码算法加密采用对称密码算法加密l l当前流行的客户端软件当前流行的客户端软件当前流行的客户端软件当前流行的客户端软件( (NetcapeNetcape Navigater,IENavigater,IE) )、绝大多数服务器应、绝大多数服务器应、绝大多数服务器应、绝大多数服务器应用用用用(Netscape, Microsoft, (Netscape, Microsoft, Apache,Oracle,NSCAApache,Oracle,NSCA) )以及证书授权以及证书授权以及证书授权以及证书授权(CA)(CA)如如如如VeriSignVeriSign等都支持等都支持等都支持等都支持SSLSSL39ÜSSL提供的面向提供的面向连接的安全性的连接的安全性的三个基本性质：三个基本性质：l连接是秘密的连接是秘密的(所有所有C/S间的数间的数据都对称加密据都对称加密)l可认证的可认证的(基于基于公钥的认证公钥的认证) l可靠的可靠的(消息的消息的MAC认证认证)6.3 安全套接字层安全套接字层SSL协议协议40主讲教师：董庆宽研究方向：密码学与信息安全Email ：qkdong@手 机：15339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第七章 应用安全 内容提要内容提要Ü7.1 应用系统中的安全问题概述应用系统中的安全问题概述Ü7.2 Web安全安全Ü7.3 数据库安全数据库安全427.1 应用系统中的安全问题概述应用系统中的安全问题概述Ü应用层是信息系统直接面向用户的层面，应用层是信息系统直接面向用户的层面，保证应用层面的安全应该说是信息系统的保证应用层面的安全应该说是信息系统的最终目的最终目的。

Ü应用层安全主要是两方面：应用层安全主要是两方面：l一是系统提供服务的安全一是系统提供服务的安全l二是相关数据的安全二是相关数据的安全l与之相关的是系统应用软件本身的安全和数据与之相关的是系统应用软件本身的安全和数据的安全的安全437.1 应用系统中的安全问题概述应用系统中的安全问题概述Ü应应用系用系统统的安全威的安全威胁胁l恶意代码是最普遍的威胁；黑客（详见恶意代码是最普遍的威胁；黑客（详见1.3节）节）Ü在应用系统中，组织为完成自身的业务战略，必在应用系统中，组织为完成自身的业务战略，必然要开发相应的应用软件，独立系统的应用软件然要开发相应的应用软件，独立系统的应用软件的脆弱性可能会表现在三个方面：的脆弱性可能会表现在三个方面：l软件开发过程中的安全问题软件开发过程中的安全问题l软件的漏洞软件的漏洞l管理方面的安全问题管理方面的安全问题447.1 应用系统中的安全问题概述应用系统中的安全问题概述Ü1. 软件开发过程的安全问题软件开发过程的安全问题l(1)开发过程的管理开发过程主要存在的安全问题有：开发过程的管理开发过程主要存在的安全问题有：在开发过程中会泄漏甲方的一些信息在开发过程中会泄漏甲方的一些信息；将开发好的软件；将开发好的软件程程序代码泄漏序代码泄漏；恶意的软件人员在软件中；恶意的软件人员在软件中插入恶意代码或故插入恶意代码或故意留下后门意留下后门；使软件存在各类；使软件存在各类错误错误l(2)开发过程中的技术安全问题。

包括开发开发过程中的技术安全问题包括开发平台的选择平台的选择、、中间件中间件的选择，的选择，开发语言开发语言的选择，是否采用了模块化的开的选择，是否采用了模块化的开发方法，模块大小与集成问题等；安全机制的设置等发方法，模块大小与集成问题等；安全机制的设置等l(3)分发过程中的安全问题分发过程中的安全问题(如何提交给用户如何提交给用户)l(4)升级维护过程升级维护过程45Ü2.应用软件本身的脆弱性应用软件本身的脆弱性l(1)陷门；陷门；(2)漏洞；漏洞；(3)错误错误l(4)隐蔽信道：不被用户察觉或不正确的通信路径隐蔽信道：不被用户察觉或不正确的通信路径l(5)由开发工具带来的安全隐患由开发工具带来的安全隐患l(6)软件缺少必要的安全机制软件缺少必要的安全机制l(7)脚本语言和程序带来漏洞脚本语言和程序带来漏洞l(8)在软件中设置逻辑炸弹在软件中设置逻辑炸弹l(9)缓冲区溢出缓冲区溢出Ü3. 可能导致管理方面的安全问题可能导致管理方面的安全问题7.1 应用系统中的安全问题概述应用系统中的安全问题概述46ÜÜ互互互互联联联联网网网网上上上上基基基基于于于于WebWeb的的的的应应应应用用用用层层层层出出出出不不不不穷穷穷穷，，，，安安安安全全全全问问问问题题题题也也也也十十十十分分分分严严严严重重重重，，，，网网网网页页页页篡篡篡篡改改改改、、、、信信信信用用用用卡卡卡卡号号号号被被被被盗盗盗盗、、、、WebWeb服服服服务务务务器器器器上上上上机机机机密密密密信信信信息息息息泄泄泄泄漏漏漏漏、、、、客客客客户户户户端被端被端被端被恶恶恶恶意攻意攻意攻意攻击击击击等等等等等等等等ÜÜ1. Web1. Web安全概述安全概述安全概述安全概述l l三类安全威胁：三类安全威胁：三类安全威胁：三类安全威胁：l l1 1．对．对．对．对WebWeb服务器的安全威胁服务器的安全威胁服务器的安全威胁服务器的安全威胁§ §服服服服务务务务器器器器的的的的操操操操作作作作系系系系统统统统、、、、相相相相关关关关软软软软件件件件存存存存在在在在安安安安全全全全漏漏漏漏洞洞洞洞；；；；服服服服务务务务器器器器端端端端的的的的错错错错误误误误配置配置配置配置l l2 2．对．对．对．对WebWeb客户端的安全威胁客户端的安全威胁客户端的安全威胁客户端的安全威胁§ §随意下载；利用浏览器扩展性的攻击随意下载；利用浏览器扩展性的攻击随意下载；利用浏览器扩展性的攻击随意下载；利用浏览器扩展性的攻击( (如如如如ActiveXActiveX等插件等插件等插件等插件) )l l3 3．对通信信道的安全威胁．对通信信道的安全威胁．对通信信道的安全威胁．对通信信道的安全威胁§ §SniffSniffSniffSniff嗅探破坏机密性，嗅探破坏机密性，嗅探破坏机密性，嗅探破坏机密性，DoSDoSDoSDoS破坏完整性和可用性破坏完整性和可用性破坏完整性和可用性破坏完整性和可用性7.2 Web安全安全47ÜÜ2.Web2.Web安全控制的基本框架安全控制的基本框架安全控制的基本框架安全控制的基本框架l l从从从从WebWebWebWeb应应应应用用用用程程程程序序序序的的的的基基基基本本本本体体体体系系系系结结结结构构构构方方方方面面面面来来来来说说说说，，，，其其其其安安安安全全全全主主主主要要要要包括包括包括包括3 3 3 3个环节个环节个环节个环节l l（（（（1 1））））WebWeb服务器及其存储数据的安全服务器及其存储数据的安全服务器及其存储数据的安全服务器及其存储数据的安全l l如网页防篡改如网页防篡改如网页防篡改如网页防篡改( (动态网页、静态网页动态网页、静态网页动态网页、静态网页动态网页、静态网页) )，网页数据库安全等等，网页数据库安全等等，网页数据库安全等等，网页数据库安全等等l l（（（（2 2））））WebWeb服务器和服务器和服务器和服务器和WebWeb浏览器之间的信息传输安全浏览器之间的信息传输安全浏览器之间的信息传输安全浏览器之间的信息传输安全l l该类安全控制中，一般主要使用该类安全控制中，一般主要使用该类安全控制中，一般主要使用该类安全控制中，一般主要使用SSLSSL协议协议协议协议l l（（（（3 3）用户计算机的安全）用户计算机的安全）用户计算机的安全）用户计算机的安全l l即客户端的安全即客户端的安全即客户端的安全即客户端的安全7.2 Web安全安全48ÜÜ3.3.服务器安全控制服务器安全控制   l lWebWeb服服服服务务务务器器器器安安安安全全全全是是是是WebWeb应应应应用用用用程程程程序序序序安安安安全全全全控控控控制制制制的的的的重重重重点点点点内内内内容容容容，，，，下下下下面讨论几种基本措施。

面讨论几种基本措施面讨论几种基本措施面讨论几种基本措施1 1）部署防火墙保护）部署防火墙保护）部署防火墙保护）部署防火墙保护WebWeb服务器服务器服务器服务器l l将将将将WebWeb服务器置于服务器置于服务器置于服务器置于DMZDMZ区是一种主流解决方案区是一种主流解决方案区是一种主流解决方案区是一种主流解决方案（（（（2 2））））WebWeb服务器安全配置服务器安全配置服务器安全配置服务器安全配置( (以以以以   Windows IIS5.0Windows IIS5.0为例为例为例为例) ) 1 1 1 1））））IISIISIISIIS的的的的安安安安全全全全机机机机制制制制: :以以以以Windows2000 Windows2000 ServerServer操操操操作作作作系系系系统统统统和和和和NTFSNTFS文文文文件件件件系系系系统统统统的的的的安安安安全全全全性性性性为为为为基基基基础础础础，，，，提提提提供供供供强强强强大大大大的的的的安安安安全全全全管管管管理理理理和和和和控控控控制制制制功功功功能能能能访访访访问问问问控控控控制和身份认证是其主要内容。

制和身份认证是其主要内容制和身份认证是其主要内容制和身份认证是其主要内容§ §有有有有3 3种种种种基基基基本本本本途途途途径径径径可可可可以以以以实实实实现现现现服服服服务务务务器器器器资资资资源源源源访访访访问问问问控控控控制制制制：：：：WEBWEB服服服服务务务务器器器器权权权权限控制、文件系统权限控制以及主机访问控制限控制、文件系统权限控制以及主机访问控制限控制、文件系统权限控制以及主机访问控制限控制、文件系统权限控制以及主机访问控制7.2 Web7.2 Web安全安全492 2）主机访问控制）主机访问控制）主机访问控制）主机访问控制3 3）用户身份验证）用户身份验证）用户身份验证）用户身份验证        在在在在IISIIS上有上有上有上有4 4中身份验证方法：中身份验证方法：中身份验证方法：中身份验证方法：          匿名访问；匿名访问；匿名访问；匿名访问；          基本身份验证基本身份验证基本身份验证基本身份验证( (帐户口令帐户口令帐户口令帐户口令) )；；；；          摘要身份验证摘要身份验证摘要身份验证摘要身份验证(digest(digest，，，，hash);hash);          集成集成集成集成WindowsWindows身份验证身份验证身份验证身份验证(Kerberos v5)(Kerberos v5)4 4））））WebWeb服务器权限控制服务器权限控制服务器权限控制服务器权限控制读读读读、、、、写写写写、、、、执执执执行行行行、、、、脚脚脚脚本本本本资资资资源源源源访访访访问问问问、、、、目目目目录录录录浏浏浏浏览览览览、、、、日日日日志志志志访问、索引资源等访问、索引资源等访问、索引资源等访问、索引资源等7 7项控制项控制项控制项控制7.2 Web7.2 Web安全安全50ÜÜ4. 4. 客户端安全控制客户端安全控制客户端安全控制客户端安全控制l l保障保障保障保障WebWebWebWeb浏览器的安全性浏览器的安全性浏览器的安全性浏览器的安全性l l1 1 1 1）浏览器安全）浏览器安全）浏览器安全）浏览器安全l lIEIEIEIE浏浏浏浏览览览览器器器器提提提提供供供供了了了了基基基基本本本本的的的的安安安安全全全全控控控控制制制制功功功功能能能能，，，，如如如如划划划划分分分分安安安安全全全全区区区区域域域域、、、、限限限限制制制制浏浏浏浏览览览览器器器器对对对对某某某某些些些些站站站站点点点点的的的的访访访访问问问问和和和和管管管管理理理理用用用用户户户户信信信信息息息息等等等等。

具具具具体体体体如如如如：：：：设设设设置置置置安安安安全全全全选选选选项项项项和内容选项和内容选项和内容选项和内容选项，，，，浏览器插件安全控制浏览器插件安全控制浏览器插件安全控制浏览器插件安全控制；；；；l l2 2））））CookieCookie安全控制安全控制安全控制安全控制l l是是是是在在在在HTTPHTTP协协协协议议议议下下下下，，，，用用用用服服服服务务务务器器器器或或或或脚脚脚脚本本本本维维维维护护护护客客客客户户户户工工工工作作作作站站站站上上上上信信信信息息息息的的的的一一一一种种种种方方方方式式式式，，，，CookieCookie是是是是由由由由WebWeb服服服服务务务务器器器器保保保保存存存存在在在在用用用用户户户户主主主主机机机机上上上上的的的的小小小小文文文文本本本本文文文文件件件件，，，，可可可可以以以以包包包包含含含含有有有有关关关关用用用用户户户户的的的的信信信信息息息息( (如如如如身身身身份份份份识识识识别别别别号号号号码码码码、、、、密密密密码码码码、、、、用用用用户户户户在在在在WebWeb站站站站点点点点购购购购物物物物方方方方式式式式或或或或用用用用户户户户访访访访问问问问该该该该站站站站点点点点的的的的次次次次数数数数) )，，，，一一一一般般般般认认认认为为为为这这这这侵侵侵侵犯犯犯犯了了了了用用用用户户户户隐隐隐隐私私私私，，，，但仍广泛的应用但仍广泛的应用但仍广泛的应用但仍广泛的应用l l随时下载升级或补丁程序，确保不存在任何形式的随时下载升级或补丁程序，确保不存在任何形式的随时下载升级或补丁程序，确保不存在任何形式的随时下载升级或补丁程序，确保不存在任何形式的bugbugbugbug7.2 Web7.2 Web安全安全517.3 数据库系统安全数据库系统安全Ü7.3.1 7.3.1 数据库安全概述数据库安全概述Ü7.3.2 7.3.2 数据库安全控制数据库安全控制Ü7.3.3 7.3.3 数据库的完整性数据库的完整性Ü7.3.4 7.3.4 数据库的并发机制数据库的并发机制Ü7.3.5 7.3.5 数据库的备份与恢复数据库的备份与恢复527.3.1数据库安全概述数据库安全概述ÜÜ数据库系统是应用领域最为广泛使用的技术之一。

数据库系统是应用领域最为广泛使用的技术之一数据库系统是应用领域最为广泛使用的技术之一数据库系统是应用领域最为广泛使用的技术之一l l数据库安装在操作系统之上，并为应用层提供直数据库安装在操作系统之上，并为应用层提供直数据库安装在操作系统之上，并为应用层提供直数据库安装在操作系统之上，并为应用层提供直接服务接服务接服务接服务l l信息系统中的数字信息的安全，多数情况下是指信息系统中的数字信息的安全，多数情况下是指信息系统中的数字信息的安全，多数情况下是指信息系统中的数字信息的安全，多数情况下是指数据库中产生和保存的数据因此数据库的安全数据库中产生和保存的数据因此数据库的安全数据库中产生和保存的数据因此数据库的安全数据库中产生和保存的数据因此数据库的安全非常重要非常重要非常重要非常重要ÜÜ数据数据数据数据完整性完整性完整性完整性和和和和合法存取合法存取合法存取合法存取会受到很多方面的安全威胁，会受到很多方面的安全威胁，会受到很多方面的安全威胁，会受到很多方面的安全威胁，这些都严重危害信息系统的安全性因此数据库系这些都严重危害信息系统的安全性因此数据库系这些都严重危害信息系统的安全性因此数据库系这些都严重危害信息系统的安全性。

因此数据库系统作为信息处理系统中重要系统必须具备高安全性统作为信息处理系统中重要系统必须具备高安全性统作为信息处理系统中重要系统必须具备高安全性统作为信息处理系统中重要系统必须具备高安全性53ÜÜ数据库系统的结构数据库系统的结构数据库系统的结构数据库系统的结构l l应用层：访问和读取数应用层：访问和读取数应用层：访问和读取数应用层：访问和读取数据的程序和人员据的程序和人员据的程序和人员据的程序和人员l l管理与控制：对数据库管理与控制：对数据库管理与控制：对数据库管理与控制：对数据库的各种管理功能，认证、的各种管理功能，认证、的各种管理功能，认证、的各种管理功能，认证、访问控制等访问控制等访问控制等访问控制等l l逻辑结构层：用户视图逻辑结构层：用户视图逻辑结构层：用户视图逻辑结构层：用户视图l l物理结构层：把概念数物理结构层：把概念数物理结构层：把概念数物理结构层：把概念数据库描述成物理存储数据库描述成物理存储数据库描述成物理存储数据库描述成物理存储数据库方式据库方式据库方式据库方式l l模式与子模式模式与子模式模式与子模式模式与子模式( (视图视图视图视图) )7.3.17.3.1数据库安全概述数据库安全概述DBMSDBMS是数据库管理系统是数据库管理系统54ÜÜ数据库面临的安全威胁：数据库面临的安全威胁：数据库面临的安全威胁：数据库面临的安全威胁：l l凡造成数据库内存储数据的凡造成数据库内存储数据的凡造成数据库内存储数据的凡造成数据库内存储数据的非授权访问非授权访问非授权访问非授权访问或或或或写入写入写入写入( (增加、增加、增加、增加、删除、修改等删除、修改等删除、修改等删除、修改等) )，以及，以及，以及，以及令正常用户不能得到数据服务令正常用户不能得到数据服务令正常用户不能得到数据服务令正常用户不能得到数据服务的的的的情况都是对数据库的威胁，可分为如下几类：情况都是对数据库的威胁，可分为如下几类：情况都是对数据库的威胁，可分为如下几类：情况都是对数据库的威胁，可分为如下几类：l l1 1．偶然的，无意的侵犯或破坏，如自然灾害．偶然的，无意的侵犯或破坏，如自然灾害．偶然的，无意的侵犯或破坏，如自然灾害．偶然的，无意的侵犯或破坏，如自然灾害l l2 2．软硬件故障．软硬件故障．软硬件故障．软硬件故障/ /错误导致的数据丢失错误导致的数据丢失错误导致的数据丢失错误导致的数据丢失l l3 3．人为失误，如误操作，不正确使用．人为失误，如误操作，不正确使用．人为失误，如误操作，不正确使用．人为失误，如误操作，不正确使用l l4 4．蓄意攻击，授权用户滥用权限，黑客．蓄意攻击，授权用户滥用权限，黑客．蓄意攻击，授权用户滥用权限，黑客．蓄意攻击，授权用户滥用权限，黑客( (内部、外部内部、外部内部、外部内部、外部) )对信息的对信息的对信息的对信息的非正常修改，破坏数据一致性的非法修改以及删除非正常修改，破坏数据一致性的非法修改以及删除非正常修改，破坏数据一致性的非法修改以及删除非正常修改，破坏数据一致性的非法修改以及删除l l5 5．病毒、木马、后门、隐蔽通道．病毒、木马、后门、隐蔽通道．病毒、木马、后门、隐蔽通道．病毒、木马、后门、隐蔽通道l l6 6．信息非正常扩散，如泄密，利用推理获取机密信息．信息非正常扩散，如泄密，利用推理获取机密信息．信息非正常扩散，如泄密，利用推理获取机密信息．信息非正常扩散，如泄密，利用推理获取机密信息l l7 7．绕过．绕过．绕过．绕过DBMSDBMS直接对数据进行读写直接对数据进行读写直接对数据进行读写直接对数据进行读写l l8. 8. 干扰干扰干扰干扰DBMSDBMS正常工作状态，造成正常工作状态，造成正常工作状态，造成正常工作状态，造成DoSDoS7.3.17.3.1数据库安全概述数据库安全概述557.3.2 数据库安全控制数据库安全控制 ÜÜ为了保证数据库的安全可靠和正确有效，数据库管理系为了保证数据库的安全可靠和正确有效，数据库管理系为了保证数据库的安全可靠和正确有效，数据库管理系为了保证数据库的安全可靠和正确有效，数据库管理系统统统统DBMSDBMS必须提供统一的数据保护功能。

必须提供统一的数据保护功能必须提供统一的数据保护功能必须提供统一的数据保护功能ÜÜ数据保护也称为数据控制，主要包括数据保护也称为数据控制，主要包括数据保护也称为数据控制，主要包括数据保护也称为数据控制，主要包括数据库的安全性、数据库的安全性、数据库的安全性、数据库的安全性、完整性、并发控制和恢复完整性、并发控制和恢复完整性、并发控制和恢复完整性、并发控制和恢复ÜÜ1. 数据库的安全性数据库的安全性l l由于数据库系统的数据量庞大且为多用户存取，安全由于数据库系统的数据量庞大且为多用户存取，安全由于数据库系统的数据量庞大且为多用户存取，安全由于数据库系统的数据量庞大且为多用户存取，安全问题尤其突出其安全性问题主要是指保护数据库以问题尤其突出其安全性问题主要是指保护数据库以问题尤其突出其安全性问题主要是指保护数据库以问题尤其突出其安全性问题主要是指保护数据库以防止不合法的使用造成数据泄露、更改或破坏防止不合法的使用造成数据泄露、更改或破坏防止不合法的使用造成数据泄露、更改或破坏防止不合法的使用造成数据泄露、更改或破坏l l数据库安全可分为二类数据库安全可分为二类数据库安全可分为二类数据库安全可分为二类 ：：：：l l系统安全性和数据安全性系统安全性和数据安全性系统安全性和数据安全性系统安全性和数据安全性56ÜÜ1. 1. 系统安全性系统安全性系统安全性系统安全性：指在系统级控制数据库的存取和使：指在系统级控制数据库的存取和使：指在系统级控制数据库的存取和使：指在系统级控制数据库的存取和使用的机制。

包含用的机制包含用的机制包含用的机制包含: :l l1) 1) 用户标识和鉴别用户标识和鉴别用户标识和鉴别用户标识和鉴别l l2) 2) 存取控制与视图机制存取控制与视图机制存取控制与视图机制存取控制与视图机制 l l基于基于基于基于ACMACM矩阵的访问控制；矩阵的访问控制；矩阵的访问控制；矩阵的访问控制；l l基于基于基于基于BLPBLP模型处理多级安全问题模型处理多级安全问题模型处理多级安全问题模型处理多级安全问题( (考虑信息流控制考虑信息流控制考虑信息流控制考虑信息流控制) )l l3) OS3) OS环境安全防护环境安全防护环境安全防护环境安全防护7.3.2 数据库安全控制数据库安全控制 57l l4) 4) 视图视图视图视图 l l有了视图机制，就可以在设计数据库应用系统时，对有了视图机制，就可以在设计数据库应用系统时，对有了视图机制，就可以在设计数据库应用系统时，对有了视图机制，就可以在设计数据库应用系统时，对不同的用户定义不同的视图，不同的用户定义不同的视图，不同的用户定义不同的视图，不同的用户定义不同的视图，使机密数据不出现在不使机密数据不出现在不使机密数据不出现在不使机密数据不出现在不应看到这些数据的用户视图上应看到这些数据的用户视图上应看到这些数据的用户视图上应看到这些数据的用户视图上。

即通过定义不同的视即通过定义不同的视即通过定义不同的视即通过定义不同的视图及有选择地授予视图上的权限，可以将用户、组或图及有选择地授予视图上的权限，可以将用户、组或图及有选择地授予视图上的权限，可以将用户、组或图及有选择地授予视图上的权限，可以将用户、组或角色限制在不同的数据子集内角色限制在不同的数据子集内角色限制在不同的数据子集内角色限制在不同的数据子集内ÜÜ2 2．数据的安全性．数据的安全性．数据的安全性．数据的安全性：指：指：指：指在对象级在对象级在对象级在对象级控制数据库的存取控制数据库的存取控制数据库的存取控制数据库的存取和使用的机制和使用的机制和使用的机制和使用的机制l l包含哪些用户可存取指定的模式对象及在对象上允许做包含哪些用户可存取指定的模式对象及在对象上允许做包含哪些用户可存取指定的模式对象及在对象上允许做包含哪些用户可存取指定的模式对象及在对象上允许做哪些操作类型哪些操作类型哪些操作类型哪些操作类型l l主要方法是加密存储主要方法是加密存储主要方法是加密存储主要方法是加密存储7.3.2 数据库安全控制数据库安全控制 58（（（（1 1）数据库密码系统的选择）数据库密码系统的选择）数据库密码系统的选择）数据库密码系统的选择: :可采用对称加密体制可采用对称加密体制可采用对称加密体制可采用对称加密体制 （（（（2 2）数据库加密的范围）数据库加密的范围）数据库加密的范围）数据库加密的范围l l要能够随机读取，不能对整个数据库文件整体加密要能够随机读取，不能对整个数据库文件整体加密要能够随机读取，不能对整个数据库文件整体加密要能够随机读取，不能对整个数据库文件整体加密l l如使用如使用如使用如使用CTRCTR分组链接模式分组链接模式分组链接模式分组链接模式l l数据库中不能加密的部分包括：索引字段、关系运算的数据库中不能加密的部分包括：索引字段、关系运算的数据库中不能加密的部分包括：索引字段、关系运算的数据库中不能加密的部分包括：索引字段、关系运算的比较字段比较字段比较字段比较字段 、表间的连接码字段、表间的连接码字段、表间的连接码字段、表间的连接码字段 （（（（3 3）数据库加密对数据库管理系统原有功能的影响）数据库加密对数据库管理系统原有功能的影响）数据库加密对数据库管理系统原有功能的影响）数据库加密对数据库管理系统原有功能的影响l l加密后加密后加密后加密后DBMSDBMS的一些功能将无法使用的一些功能将无法使用的一些功能将无法使用的一些功能将无法使用l l如无法实现排序、分组和分类等如无法实现排序、分组和分类等如无法实现排序、分组和分类等如无法实现排序、分组和分类等7.3.2 数据库安全控制数据库安全控制 597.3.3 数据库的完整性数据库的完整性ÜÜ数据库的完整性是指数据的数据库的完整性是指数据的数据库的完整性是指数据的数据库的完整性是指数据的正确性和相容性正确性和相容性正确性和相容性正确性和相容性。

如学号的唯如学号的唯如学号的唯如学号的唯一性，性别的二元性，年龄有范围等一性，性别的二元性，年龄有范围等一性，性别的二元性，年龄有范围等一性，性别的二元性，年龄有范围等ÜÜ 数据的数据的数据的数据的完整性和安全性完整性和安全性完整性和安全性完整性和安全性是两个不同的概念前者是为了防是两个不同的概念前者是为了防是两个不同的概念前者是为了防是两个不同的概念前者是为了防止数据库中存在不符合语义的数据，防止错误信息的输入止数据库中存在不符合语义的数据，防止错误信息的输入止数据库中存在不符合语义的数据，防止错误信息的输入止数据库中存在不符合语义的数据，防止错误信息的输入和输出，而后者是保护数据库防止恶意的破坏和非法的存和输出，而后者是保护数据库防止恶意的破坏和非法的存和输出，而后者是保护数据库防止恶意的破坏和非法的存和输出，而后者是保护数据库防止恶意的破坏和非法的存取l l因此，安全性措施的防范对象是非法用户和非法操作因此，安全性措施的防范对象是非法用户和非法操作因此，安全性措施的防范对象是非法用户和非法操作因此，安全性措施的防范对象是非法用户和非法操作，，，，完整性措完整性措完整性措完整性措施的防范对象是不合语义的数据施的防范对象是不合语义的数据施的防范对象是不合语义的数据施的防范对象是不合语义的数据，二者密切相关，二者密切相关，二者密切相关，二者密切相关ÜÜ DBMSDBMS中检查数据是否满足完整性条件的机制称为完整性中检查数据是否满足完整性条件的机制称为完整性中检查数据是否满足完整性条件的机制称为完整性中检查数据是否满足完整性条件的机制称为完整性检查。

增加对字段值的录入或更新的检查功能检查增加对字段值的录入或更新的检查功能检查增加对字段值的录入或更新的检查功能检查增加对字段值的录入或更新的检查功能ÜÜ完整性控制包含三个方面：完整性控制包含三个方面：完整性控制包含三个方面：完整性控制包含三个方面：l l设置触发器、两阶段提交、纠错与恢复设置触发器、两阶段提交、纠错与恢复设置触发器、两阶段提交、纠错与恢复设置触发器、两阶段提交、纠错与恢复60ÜÜ1．设置触发器．设置触发器 l l触发器可以完成以下功能：触发器可以完成以下功能：触发器可以完成以下功能：触发器可以完成以下功能： l l（（（（1 1）检查取值类型与范围：检查每个字段输入数据）检查取值类型与范围：检查每个字段输入数据）检查取值类型与范围：检查每个字段输入数据）检查取值类型与范围：检查每个字段输入数据的类型与该字段的类型是否一致的类型与该字段的类型是否一致的类型与该字段的类型是否一致的类型与该字段的类型是否一致 ；；；；l l（（（（2 2）依据状态限制：指为保证整个数据库的完整性）依据状态限制：指为保证整个数据库的完整性）依据状态限制：指为保证整个数据库的完整性）依据状态限制：指为保证整个数据库的完整性而设置的一些限制，数据库的值在任何时候都不应该而设置的一些限制，数据库的值在任何时候都不应该而设置的一些限制，数据库的值在任何时候都不应该而设置的一些限制，数据库的值在任何时候都不应该违反这些限制违反这些限制违反这些限制违反这些限制 ；；；；§ §如一个班中只能有一个是班长，学号不能重复等如一个班中只能有一个是班长，学号不能重复等如一个班中只能有一个是班长，学号不能重复等如一个班中只能有一个是班长，学号不能重复等l l（（（（3 3）依据业务限制：指为了使数据库的修改满足数）依据业务限制：指为了使数据库的修改满足数）依据业务限制：指为了使数据库的修改满足数）依据业务限制：指为了使数据库的修改满足数据库存储内容的业务要求，而作出相应的限制。

据库存储内容的业务要求，而作出相应的限制据库存储内容的业务要求，而作出相应的限制据库存储内容的业务要求，而作出相应的限制§ §如一个班的人数上限将限制增加新的录入人员的数目如一个班的人数上限将限制增加新的录入人员的数目如一个班的人数上限将限制增加新的录入人员的数目如一个班的人数上限将限制增加新的录入人员的数目7.3.3 数据库的完整性数据库的完整性61ÜÜ2 2．两阶段提交．两阶段提交．两阶段提交．两阶段提交 l l为了保证数据更新结果的正确性，必须防止在数据更新为了保证数据更新结果的正确性，必须防止在数据更新为了保证数据更新结果的正确性，必须防止在数据更新为了保证数据更新结果的正确性，必须防止在数据更新过程中发生处理程序中断或出现错误，导致仅更新了部过程中发生处理程序中断或出现错误，导致仅更新了部过程中发生处理程序中断或出现错误，导致仅更新了部过程中发生处理程序中断或出现错误，导致仅更新了部分字节等情况解决这个问题的办法是在分字节等情况解决这个问题的办法是在分字节等情况解决这个问题的办法是在分字节等情况解决这个问题的办法是在DBMSDBMS中采用中采用中采用中采用两阶段提交两阶段提交两阶段提交两阶段提交( (更新更新更新更新) )技术。

技术l l第一阶段称为准备阶段第一阶段称为准备阶段第一阶段称为准备阶段第一阶段称为准备阶段l l收集为完成更新所需要的信息和其他资源，为最后更新做好准备，收集为完成更新所需要的信息和其他资源，为最后更新做好准备，收集为完成更新所需要的信息和其他资源，为最后更新做好准备，收集为完成更新所需要的信息和其他资源，为最后更新做好准备，但不对数据库做实际更改最后提交需要向数据库写的一个提交但不对数据库做实际更改最后提交需要向数据库写的一个提交但不对数据库做实际更改最后提交需要向数据库写的一个提交但不对数据库做实际更改最后提交需要向数据库写的一个提交标志给标志给标志给标志给DBMSDBMS，如果中断该过程可重复，如果中断该过程可重复，如果中断该过程可重复，如果中断该过程可重复l l第二阶段的工作是对需要更新的字段进行真正地修改，第二阶段的工作是对需要更新的字段进行真正地修改，第二阶段的工作是对需要更新的字段进行真正地修改，第二阶段的工作是对需要更新的字段进行真正地修改，这种修改是永久性的这种修改是永久性的这种修改是永久性的这种修改是永久性的l l如果更新出现问题，如果更新出现问题，如果更新出现问题，如果更新出现问题，DBMSDBMS对所有操作都撤销，并恢复到本次修对所有操作都撤销，并恢复到本次修对所有操作都撤销，并恢复到本次修对所有操作都撤销，并恢复到本次修改前的状态，这样数据库又是完整的了改前的状态，这样数据库又是完整的了改前的状态，这样数据库又是完整的了改前的状态，这样数据库又是完整的了l l两个阶段合称一个两个阶段合称一个两个阶段合称一个两个阶段合称一个“ “事务事务事务事务” ”，事务是指一个逻辑操作单，事务是指一个逻辑操作单，事务是指一个逻辑操作单，事务是指一个逻辑操作单元，使数据从一个状态变换到另一个状态元，使数据从一个状态变换到另一个状态元，使数据从一个状态变换到另一个状态元，使数据从一个状态变换到另一个状态62ÜÜ3 3．纠错与恢复．纠错与恢复．纠错与恢复．纠错与恢复l l许多许多许多许多DBMSDBMS提供数据库数据的纠错功能，主要方法是采提供数据库数据的纠错功能，主要方法是采提供数据库数据的纠错功能，主要方法是采提供数据库数据的纠错功能，主要方法是采用冗余的办法，下面介绍几种冗余纠错的技术用冗余的办法，下面介绍几种冗余纠错的技术用冗余的办法，下面介绍几种冗余纠错的技术用冗余的办法，下面介绍几种冗余纠错的技术 ：：：：l l（（（（1 1）附加校验纠错码）附加校验纠错码）附加校验纠错码）附加校验纠错码l l在单个字段或整个数据库后附加一段冗余信息，用作奇偶校验在单个字段或整个数据库后附加一段冗余信息，用作奇偶校验在单个字段或整个数据库后附加一段冗余信息，用作奇偶校验在单个字段或整个数据库后附加一段冗余信息，用作奇偶校验位、海明校验码或循环冗余校验位、海明校验码或循环冗余校验位、海明校验码或循环冗余校验位、海明校验码或循环冗余校验(CRC)(CRC)，需要的冗余存储空间最，需要的冗余存储空间最，需要的冗余存储空间最，需要的冗余存储空间最小。

小l l（（（（2 2）使用镜像技术）使用镜像技术）使用镜像技术）使用镜像技术l l对整个字段、整个记录或整个数据库做备份，安全性强，但需对整个字段、整个记录或整个数据库做备份，安全性强，但需对整个字段、整个记录或整个数据库做备份，安全性强，但需对整个字段、整个记录或整个数据库做备份，安全性强，但需要双倍存储空间要双倍存储空间要双倍存储空间要双倍存储空间l l（（（（3 3）建立数据库日志）建立数据库日志）建立数据库日志）建立数据库日志l l记录用户每次访问数据库的情况以及数据库记录每次发生的改记录用户每次访问数据库的情况以及数据库记录每次发生的改记录用户每次访问数据库的情况以及数据库记录每次发生的改记录用户每次访问数据库的情况以及数据库记录每次发生的改变安全特性更好，但更为复杂，需要的存储空间更多变安全特性更好，但更为复杂，需要的存储空间更多变安全特性更好，但更为复杂，需要的存储空间更多变安全特性更好，但更为复杂，需要的存储空间更多7.3.3 数据库的完整性数据库的完整性637.3.4 数据库的并发控制数据库的并发控制Ü 数据库系统通常支持多用户同时访问数据库，为数据库系统通常支持多用户同时访问数据库，为数据库系统通常支持多用户同时访问数据库，为数据库系统通常支持多用户同时访问数据库，为了有效地利用数据库资源，可能多个程序或一个了有效地利用数据库资源，可能多个程序或一个了有效地利用数据库资源，可能多个程序或一个了有效地利用数据库资源，可能多个程序或一个程序的多个进程并行地运行，这就是数据库的并程序的多个进程并行地运行，这就是数据库的并程序的多个进程并行地运行，这就是数据库的并程序的多个进程并行地运行，这就是数据库的并发操作。

发操作 ÜÜ当多个用户同时读写同一个字段的时候，会存取当多个用户同时读写同一个字段的时候，会存取当多个用户同时读写同一个字段的时候，会存取当多个用户同时读写同一个字段的时候，会存取不正确的数据，或破坏数据库数据的一致性不正确的数据，或破坏数据库数据的一致性不正确的数据，或破坏数据库数据的一致性不正确的数据，或破坏数据库数据的一致性DBMSDBMS提供解决冲突的机制如加锁提供解决冲突的机制如加锁提供解决冲突的机制如加锁提供解决冲突的机制如加锁/ /解锁ÜÜ数据不一致总是由两个因素造成：一是对数据的数据不一致总是由两个因素造成：一是对数据的数据不一致总是由两个因素造成：一是对数据的数据不一致总是由两个因素造成：一是对数据的修改，二是并发操作的发生修改，二是并发操作的发生修改，二是并发操作的发生修改，二是并发操作的发生64ÜÜ并发操作带来的数据不一致性包括三类：并发操作带来的数据不一致性包括三类：并发操作带来的数据不一致性包括三类：并发操作带来的数据不一致性包括三类： l l1 1．丢失修改．丢失修改．丢失修改．丢失修改(Lost Update)(Lost Update)l l两个事务两个事务两个事务两个事务T1T1和和和和T2T2读入同一数据并修改，读入同一数据并修改，读入同一数据并修改，读入同一数据并修改，T2T2提交的结果破坏了提交的结果破坏了提交的结果破坏了提交的结果破坏了T1T1提交的结果，导致提交的结果，导致提交的结果，导致提交的结果，导致T1T1修改消失修改消失修改消失修改消失l l2 2．不可重复读．不可重复读．不可重复读．不可重复读(Non-Repeatable Read)(Non-Repeatable Read)l l事务事务事务事务T1T1读取数据后，事务读取数据后，事务读取数据后，事务读取数据后，事务T2T2执行更新操作，使执行更新操作，使执行更新操作，使执行更新操作，使T1T1无法再现前一无法再现前一无法再现前一无法再现前一次读取的结果。

次读取的结果次读取的结果次读取的结果T2T2修改的影响导致三种情况：修改的影响导致三种情况：修改的影响导致三种情况：修改的影响导致三种情况：§ §T1T1T1T1再次读取时，得到值与前一次不同；再次读取时，得到值与前一次不同；再次读取时，得到值与前一次不同；再次读取时，得到值与前一次不同；§ §按相同条件再次读取时发现某些记录消失；按相同条件再次读取时发现某些记录消失；按相同条件再次读取时发现某些记录消失；按相同条件再次读取时发现某些记录消失；§ §或者多了一些记录；或者多了一些记录；或者多了一些记录；或者多了一些记录；l l后两种情况也称为幻影现象后两种情况也称为幻影现象后两种情况也称为幻影现象后两种情况也称为幻影现象phantom rowphantom row7.3.4 数据库的并发控制数据库的并发控制65l l3 3．读．读．读．读“ “脏脏脏脏” ”数据数据数据数据(Dirty Read)(Dirty Read)l事务事务T1修改某一数据，写回磁盘，修改某一数据，写回磁盘，T2读取同一数据读取同一数据后，后，T1由于某种原因被撤销，其修改的数据被恢复原由于某种原因被撤销，其修改的数据被恢复原值，值，T2读到的数据与数据库中的数据不一致，读到的读到的数据与数据库中的数据不一致，读到的数据被称为数据被称为“脏脏”数据数据l并发控制的主要技术是封锁并发控制的主要技术是封锁locking，即为读、，即为读、写用户分别定义写用户分别定义“读锁读锁”和和“写锁写锁”，加了读，加了读锁则其它用户只能读目标。

加了写锁则任何其锁则其它用户只能读目标加了写锁则任何其它用户都不能读写目标封锁也会导致死锁它用户都不能读写目标封锁也会导致死锁7.3.4 数据库的并发控制数据库的并发控制667.3.5 数据库的备份与恢复数据库的备份与恢复ÜÜ数据库管理系统必须具有把数据库从错误状态恢数据库管理系统必须具有把数据库从错误状态恢数据库管理系统必须具有把数据库从错误状态恢数据库管理系统必须具有把数据库从错误状态恢复到某一已知的正确状态复到某一已知的正确状态复到某一已知的正确状态复到某一已知的正确状态( (亦称为一致状态或完整亦称为一致状态或完整亦称为一致状态或完整亦称为一致状态或完整状态状态状态状态) )的功能，这就是数据库的恢复的功能，这就是数据库的恢复的功能，这就是数据库的恢复的功能，这就是数据库的恢复ÜÜ2 恢复的实现技术恢复的实现技术l l恢复机制涉及两个关键问题：恢复机制涉及两个关键问题：恢复机制涉及两个关键问题：恢复机制涉及两个关键问题：l l如何建立冗余数据；如何建立冗余数据；如何建立冗余数据；如何建立冗余数据；l l如何利用这些冗余数据实施恢复如何利用这些冗余数据实施恢复如何利用这些冗余数据实施恢复。

如何利用这些冗余数据实施恢复l l建立冗余的常用方法是数据转储和登记日志，二者结合建立冗余的常用方法是数据转储和登记日志，二者结合建立冗余的常用方法是数据转储和登记日志，二者结合建立冗余的常用方法是数据转储和登记日志，二者结合67l l（（（（1 1）数据转储）数据转储）数据转储）数据转储l l定期保存副本分为静态转储定期保存副本分为静态转储定期保存副本分为静态转储定期保存副本分为静态转储( (在系统中无运行事务在系统中无运行事务在系统中无运行事务在系统中无运行事务时进行时进行时进行时进行) )和动态转储；也可分为海量转储和动态转储；也可分为海量转储和动态转储；也可分为海量转储和动态转储；也可分为海量转储( (每次转储全每次转储全每次转储全每次转储全部数据库部数据库部数据库部数据库) )和增量转储；以上两种分类方式组合，可和增量转储；以上两种分类方式组合，可和增量转储；以上两种分类方式组合，可和增量转储；以上两种分类方式组合，可得四种转储方式：如动态海量转储得四种转储方式：如动态海量转储得四种转储方式：如动态海量转储得四种转储方式：如动态海量转储……l l（（（（2 2）登记日志）登记日志）登记日志）登记日志l l以记录为单位的日志文件或以数据块为单位的日志文以记录为单位的日志文件或以数据块为单位的日志文以记录为单位的日志文件或以数据块为单位的日志文以记录为单位的日志文件或以数据块为单位的日志文件件件件l l为保证可恢复性，登记日志文件必须遵循两条原则：为保证可恢复性，登记日志文件必须遵循两条原则：为保证可恢复性，登记日志文件必须遵循两条原则：为保证可恢复性，登记日志文件必须遵循两条原则：严格按并发事务执行的时间次序；必须先写日志文件，严格按并发事务执行的时间次序；必须先写日志文件，严格按并发事务执行的时间次序；必须先写日志文件，严格按并发事务执行的时间次序；必须先写日志文件，后写数据库后写数据库后写数据库后写数据库7.3.5 数据库的备份与恢复数据库的备份与恢复68l l（（（（3 3）数据库的镜像）数据库的镜像）数据库的镜像）数据库的镜像mirrormirrorl l大型数据库一般对关键数据和日志文件镜像大型数据库一般对关键数据和日志文件镜像大型数据库一般对关键数据和日志文件镜像大型数据库一般对关键数据和日志文件镜像l l对于介质故障具有很好的防御作用对于介质故障具有很好的防御作用对于介质故障具有很好的防御作用对于介质故障具有很好的防御作用l l关键数据库可实施远程备份关键数据库可实施远程备份关键数据库可实施远程备份关键数据库可实施远程备份l l只要只要只要只要DBMSDBMS保持一切事务的原子性、一致性、保持一切事务的原子性、一致性、保持一切事务的原子性、一致性、保持一切事务的原子性、一致性、隔离性和持续性，就保持了数据库处于一致的隔离性和持续性，就保持了数据库处于一致的隔离性和持续性，就保持了数据库处于一致的隔离性和持续性，就保持了数据库处于一致的状态状态状态状态l登记日志和镜像合起来安全性最高登记日志和镜像合起来安全性最高7.3.5 数据库的备份与恢复数据库的备份与恢复69主讲教师：董庆宽研究方向：密码学与信息安全Email ：qkdong@手 机：15339021227网教院培训课程：信息系统安全网教院培训课程：信息系统安全第八章 管理安全 内容提要内容提要Ü8.1 BS7799标准与信息系统安全管理标准与信息系统安全管理Ü8.2 风险评估风险评估718.1 BS7799标准与信息系统安全管理标准与信息系统安全管理l l信息安全管理概述信息安全管理概述信息安全管理概述信息安全管理概述l lBS7799BS7799标准简介标准简介标准简介标准简介l l信息安全管理实施细则信息安全管理实施细则信息安全管理实施细则信息安全管理实施细则l l信息安全管理体系规范信息安全管理体系规范信息安全管理体系规范信息安全管理体系规范l lBS7799BS7799认证过程认证过程认证过程认证过程728.1.1 信息安全管理概述信息安全管理概述Ü信息安全的成败取决于两个因素：技术和管理。

信息安全的成败取决于两个因素：技术和管理 l三分技术，七分管理三分技术，七分管理l安全技术是信息安全的构筑材料，安全管理是真正的粘安全技术是信息安全的构筑材料，安全管理是真正的粘合剂和催化剂合剂和催化剂Ü信息安全管理（信息安全管理（Information Security Management））l信息安全管理作为组织完整的管理体系中一个重要的环信息安全管理作为组织完整的管理体系中一个重要的环节，它构成了信息安全具有能动性的部分，是指导和控节，它构成了信息安全具有能动性的部分，是指导和控制组织的关于信息安全风险的相互协调的活动，其针对制组织的关于信息安全风险的相互协调的活动，其针对对象就是组织的信息资产对象就是组织的信息资产73Ü基于风险分析的安全管理方法是当前的主流方法基于风险分析的安全管理方法是当前的主流方法l首先制定信息安全策略方针，为信息安全管理提供导向首先制定信息安全策略方针，为信息安全管理提供导向和支持和支持l进行风险评估和风险管理进行风险评估和风险管理l安全控制的要求应针对每项资产所面临的威胁、存在的弱点、安全控制的要求应针对每项资产所面临的威胁、存在的弱点、产生的潜在影响和发生的可能性等综合因素来分析确定。

这是产生的潜在影响和发生的可能性等综合因素来分析确定这是信息安全管理的基础信息安全管理的基础l控制目标和方式选择，应以风险评估为基础控制目标和方式选择，应以风险评估为基础l风险控制和处理上考虑控制成本与风险平衡的原则，将风险控制和处理上考虑控制成本与风险平衡的原则，将风险降低到组织可接受的水平风险降低到组织可接受的水平l需要全员参与来保证安全保证需要全员参与来保证安全保证8.1.1 信息安全管理概述信息安全管理概述74信息安全管理要遵循管理的一般模式信息安全管理要遵循管理的一般模式PDCA信息安全管理模型信息安全管理模型 根据风险评估结果、法律法根据风险评估结果、法律法规要求、组织业务运作自身需要规要求、组织业务运作自身需要来确定控制目标与控制措施来确定控制目标与控制措施 实施所选的安全控制措施实施所选的安全控制措施 针对检查结果采取应针对检查结果采取应对措施，改进安全状况对措施，改进安全状况 依据策略、程序、标准依据策略、程序、标准和法律法规，对安全措施的和法律法规，对安全措施的实施情况进行符合性检查。

实施情况进行符合性检查8.1.1 信息安全管理概述信息安全管理概述75Ü什么是什么是BS7799？？l英国标准协会（英国标准协会（British Standards Institute，，BSI））制定的信息安全标准制定的信息安全标准l由信息安全方面的最佳惯例组成的一套全面的控制集由信息安全方面的最佳惯例组成的一套全面的控制集l信息安全管理方面最受推崇的国际标准信息安全管理方面最受推崇的国际标准ÜBS 7799的目的的目的l"为信息安全管理提供建议，供那些在其机构中负有安为信息安全管理提供建议，供那些在其机构中负有安全责任的人使用它旨在为一个机构提供用来制定安全责任的人使用它旨在为一个机构提供用来制定安全标准、实施有效的安全管理时的通用要素，并得以全标准、实施有效的安全管理时的通用要素，并得以使跨机构的交易得到互信使跨机构的交易得到互信"8.1.2 BS7799标准简介标准简介768.1.3 信息安全管理实施细则信息安全管理实施细则ÜÜ信息安全策略信息安全策略信息安全策略信息安全策略ÜÜ安全组织安全组织安全组织安全组织ÜÜ资产分类和控制资产分类和控制资产分类和控制资产分类和控制ÜÜ人员安全人员安全人员安全人员安全ÜÜ物理和环境安全物理和环境安全物理和环境安全物理和环境安全ÜÜ通信和操作管理通信和操作管理通信和操作管理通信和操作管理ÜÜ访问控制访问控制访问控制访问控制ÜÜ系统获得、开发和维护系统获得、开发和维护系统获得、开发和维护系统获得、开发和维护ÜÜ信息安全事件管理信息安全事件管理信息安全事件管理信息安全事件管理ÜÜ业务连续性管理业务连续性管理业务连续性管理业务连续性管理ÜÜ符合性符合性符合性符合性Part 1Part 1Part 1Part 1 ––信息安全管理信息安全管理实施细则实施细则提供一套由最佳惯例构提供一套由最佳惯例构成的安全控制，涉及成的安全控制，涉及1111个方面，包括个方面，包括3939个控制个控制目标和目标和133133项控制措施，项控制措施，可作为参考文件使用，可作为参考文件使用，但并不是认证评审的依但并不是认证评审的依据。

据BS 7799-ISO17799：：200577安全策略安全策略安全策略安全策略 Security policySecurity policy人力资源安全人力资源安全人力资源安全人力资源安全 Human Human resource resource securitysecurity物理与环境安全物理与环境安全物理与环境安全物理与环境安全 Physical and Physical and environmental environmental securitysecurity通信与操作管理通信与操作管理通信与操作管理通信与操作管理 Communications Communications and operations and operations managementmanagement信息系统获取、开发信息系统获取、开发信息系统获取、开发信息系统获取、开发和维护和维护和维护和维护 Information Information systems systems acquisition, acquisition, development and development and maintenancemaintenance信息安全组织信息安全组织信息安全组织信息安全组织 Organization of information securityOrganization of information security资产管理资产管理资产管理资产管理 Asset managementAsset management访问控制访问控制访问控制访问控制 Access controlAccess control信息安全事件管理信息安全事件管理信息安全事件管理信息安全事件管理 Information security incident managementInformation security incident management业务连续性管理业务连续性管理业务连续性管理业务连续性管理 Business continuity managementBusiness continuity management符合性符合性符合性符合性 ComplianceComplianceISO 17799:2005内容框架内容框架第一部分是信息安全管理实施细则（Code of Practice for Information Security Management），8.1.3 信息安全管理实施细则信息安全管理实施细则781. 信息安全策略信息安全策略u 目标：目标：•信息安全策略信息安全策略——为信息安全提供与业务需求和法律法规相一致为信息安全提供与业务需求和法律法规相一致的管理指示及支持的管理指示及支持u 安全策略应该做到：安全策略应该做到：• 对信息安全加以定义对信息安全加以定义• 陈述管理层的意图陈述管理层的意图• 分派责任分派责任• 约定信息安全管理的范围约定信息安全管理的范围• 对特定的原则、标准和遵守要求进行说明对特定的原则、标准和遵守要求进行说明• 对报告可疑安全事件的过程进行说明对报告可疑安全事件的过程进行说明• 定义用以维护策略的复查过程定义用以维护策略的复查过程8.1.3 信息安全管理实施细则信息安全管理实施细则792. 安全组织安全组织u 目标：目标：• 信息安全基础设施信息安全基础设施——在组织内部管理信息安全在组织内部管理信息安全• 外部组织外部组织——保持组织的被外部组织访问、处理、沟通或管理的信保持组织的被外部组织访问、处理、沟通或管理的信息及信息处理设备的安全息及信息处理设备的安全u 包含的内容：包含的内容：• 建立管理委员会，定义安全管理的角色和责任建立管理委员会，定义安全管理的角色和责任• 对软硬件的采购建立授权过程对软硬件的采购建立授权过程• 与第三方签订的协议中应覆盖所有相关的安全要求。

与第三方签订的协议中应覆盖所有相关的安全要求• 外包合同中的安全需求外包合同中的安全需求• 包括内部组织和外部伙伴包括内部组织和外部伙伴8.1.3 信息安全管理实施细则信息安全管理实施细则803. 资产管理资产管理u 目标：目标：•资产责任资产责任——实现并保持组织资产的适当保护实现并保持组织资产的适当保护•信息分类信息分类——确保对信息资产的保护达到恰当的水平确保对信息资产的保护达到恰当的水平u 包含的内容：包含的内容：• 组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产组织可以根据业务运作流程和信息系统拓扑结构来识别信息资产• 按照信息资产所属系统或所在部门列出资产清单按照信息资产所属系统或所在部门列出资产清单• 所有的信息资产都应该具有指定的属主并且可以被追溯责任所有的信息资产都应该具有指定的属主并且可以被追溯责任• 信息应该被分类，以标明其需求、优先级和保护程度信息应该被分类，以标明其需求、优先级和保护程度• 根据组织采用的分类方案，为信息标注和处理定义一套合适的程序根据组织采用的分类方案，为信息标注和处理定义一套合适的程序Top SecretSecretConfidentialRestricted8.1.3 信息安全管理实施细则信息安全管理实施细则814. 人力资源安全人力资源安全u 目标：目标：• 雇佣前雇佣前——确保员工、合同访和第三方用户了解他们的责任并适合确保员工、合同访和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。

于他们所考虑的角色，减少盗窃、滥用或设施误用的风险• 雇佣中雇佣中——确保所有的员工、合同方和第三方用户了解信息安全威确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险的信息安全方针，减少人为错误的风险• 解聘和变更解聘和变更——确保员工、合同方和第三方用户离开组织或变更雇确保员工、合同方和第三方用户离开组织或变更雇佣关系时以一种有序的方式进行佣关系时以一种有序的方式进行u 包含的内容：包含的内容：• 故意或者无意的人为活动可能给数据和系统造成风险故意或者无意的人为活动可能给数据和系统造成风险• 在正式的工作描述中建立安全责任，员工入职审查在正式的工作描述中建立安全责任，员工入职审查 8.1.3 信息安全管理实施细则信息安全管理实施细则825. 物理和环境安全物理和环境安全u 目标：目标：• 安全区域安全区域——防止非授权访问、破坏和干扰业务运行的前提条件及防止非授权访问、破坏和干扰业务运行的前提条件及信息• 设备安全设备安全——预防资产的丢失、损坏或被盗，以及对组织业务活动预防资产的丢失、损坏或被盗，以及对组织业务活动的干扰。

的干扰u 包含的内容：包含的内容：• 应该建立带有物理入口控制的安全区域应该建立带有物理入口控制的安全区域• 应该配备物理保护的硬件设备应该配备物理保护的硬件设备• 应该防止网络电缆被塔线窃听应该防止网络电缆被塔线窃听• 将设备搬离场所，或者准备报废时，应考虑其安全将设备搬离场所，或者准备报废时，应考虑其安全8.1.3 信息安全管理实施细则信息安全管理实施细则836. 通信和操作管理通信和操作管理u 目标目标：• 操作程序和责任——确保信息处理设施的正确和安全操作• 第三方服务交付管理——实施并保持信息安全的适当水平，确保第三方交付的服务符合协议要求• 系统规划与验收——减少系统失效带来的风险• 防范恶意代码和移动代码——保护软件和信息的完整性• 备份——保持信息和信息处理设施的完整性和可用性• 网络安全管理——确保对网络中信息和支持性基础设施的安全保护• 介质处理和安全——防止对资产的未授权泄漏、修改、移动或损坏，及对业务活动的干扰• 信息和软件的交换——应保持组织内部或组织与外部组织之间交换信息和软件的安全• 电子商务服务 ——确保电子商务的安全及他们的安全使用。

•监督——检测未经授权的信息处理活动u 包含的内容：• 防病毒，防恶意软件； 进行变更控制• 做好备份，存储介质的安全处理，保存正确的访问日志，系统文件的安全性• 电子邮件安全性； 保护传输中的数据8.1.3 信息安全管理实施细则信息安全管理实施细则847. 访问控制访问控制u 目标：目标：• 访问控制的业务需求访问控制的业务需求——控制对信息的访问控制对信息的访问• 用户访问管理用户访问管理——确保授权用户的访问，并预防信息系统的非授权确保授权用户的访问，并预防信息系统的非授权访问• 用户责任用户责任——预防未授权用户的访问，信息和信息处理设施的破坏预防未授权用户的访问，信息和信息处理设施的破坏或被盗• 网络访问控制网络访问控制——防止对网络服务未经授权的访问防止对网络服务未经授权的访问• 操作系统访问控制操作系统访问控制——防止对操作系统的未授权访问防止对操作系统的未授权访问• 应用访问控制应用访问控制——防止对应用系统中信息的未授权访问防止对应用系统中信息的未授权访问• 移动计算和远程工作移动计算和远程工作——确保在使用移动计算和远程工作设施时信确保在使用移动计算和远程工作设施时信息的安全息的安全。

u 包含的内容：包含的内容：• 口令的正确使用；对终端的物理访问；自动终止时间；软件监视等口令的正确使用；对终端的物理访问；自动终止时间；软件监视等8.1.3 信息安全管理实施细则信息安全管理实施细则858. 系统获得、开发与维护系统获得、开发与维护u 目标：目标：• 系统的安全需求系统的安全需求——确保安全内建于信息系统中确保安全内建于信息系统中• 应用系统的安全应用系统的安全——防止应用系统信息的错误、丢失、未授权的修改防止应用系统信息的错误、丢失、未授权的修改或误用• 加密控制加密控制——通过加密手段来保护细腻的保密性、真实性或完整性通过加密手段来保护细腻的保密性、真实性或完整性• 系统文件的安全系统文件的安全——确保系统文档的安全确保系统文档的安全• 开发和支持过程的安全开发和支持过程的安全——保持应用系统软件和信息的安全保持应用系统软件和信息的安全•技术漏洞管理技术漏洞管理——减少由利用公开的技术漏洞带来的风险减少由利用公开的技术漏洞带来的风险u 包含的内容：包含的内容：• 在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、在系统设计时应该考虑输入数据校验、数据加密、数据文件的安全性、测试数据的保护测试数据的保护• 软件开发和维护中应该建立配置管理、变更控制等机制软件开发和维护中应该建立配置管理、变更控制等机制8.1.3 信息安全管理实施细则信息安全管理实施细则869. 信息安全事件管理信息安全事件管理u 目标：目标：•报告信息安全事件和弱点报告信息安全事件和弱点——确保与信息系统有关的安全事件和弱点确保与信息系统有关的安全事件和弱点的沟通能够及时采取纠正措施。

的沟通能够及时采取纠正措施•信息安全事故的管理和改进信息安全事故的管理和改进——确保使用持续有效的方法管理信息安确保使用持续有效的方法管理信息安全事故 u 包含的内容：包含的内容：•正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安正常的事件报告和分类程序，这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点全造成影响的不同种类的事件和弱点•所有的员工、合同方和第三方用户都应该知晓这套报告程序所有的员工、合同方和第三方用户都应该知晓这套报告程序•要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方要求员工需要尽可能快地将信息安全事件和弱点报告给指定的联系方 8.1.3 信息安全管理实施细则信息安全管理实施细则8710. 业务连续性管理业务连续性管理u 目标：目标：•业务连续性管理的信息安全方面业务连续性管理的信息安全方面——：防止业务活动：防止业务活动的中断，保护关键业务流程不会受信息系统重大失效的中断，保护关键业务流程不会受信息系统重大失效或自然灾害的影响，并确保他们的及时恢复或自然灾害的影响，并确保他们的及时恢复u 包含的内容：包含的内容：• 全面理解业务连续性计划（全面理解业务连续性计划（BCP））• 理解组织面临的风险，识别关键业务活动和优先次理解组织面临的风险，识别关键业务活动和优先次序。

序• 确认可能对业务造成影响的中断确认可能对业务造成影响的中断• 应该设计、实施、测试和维护应该设计、实施、测试和维护BCP8.1.3 信息安全管理实施细则信息安全管理实施细则8811. 符合性符合性u 目标：目标：•与法律法规要求的符合性与法律法规要求的符合性——避免违反法律、法规、规章、合同要避免违反法律、法规、规章、合同要求和其他的安全要求求和其他的安全要求•符合安全方针、标准，技术符合性符合安全方针、标准，技术符合性——确保系统符合组织安全方针确保系统符合组织安全方针和标准•信息系统审核的考虑因素信息系统审核的考虑因素——最大化信息系统审核的有效性，最小最大化信息系统审核的有效性，最小化来自化来自/对信息系统审核的影响对信息系统审核的影响u 包含的内容：包含的内容：• 组织应该确保遵守相关的法律法规和合同义务组织应该确保遵守相关的法律法规和合同义务• 软件版权，知识产权等软件版权，知识产权等8.1.3 信息安全管理实施细则信息安全管理实施细则898.1.4 信息安全管理体系规范信息安全管理体系规范ÜBS7799第二部分详细说明了第二部分详细说明了建立、实施和维护信息安全管建立、实施和维护信息安全管理系统的要求，指出实施机构理系统的要求，指出实施机构应该遵循的风险评估标准应该遵循的风险评估标准l l解释标准的作用和所用的定义解释标准的作用和所用的定义解释标准的作用和所用的定义解释标准的作用和所用的定义l l解释相关术语解释相关术语解释相关术语解释相关术语l l解释建立和维护文档化的解释建立和维护文档化的解释建立和维护文档化的解释建立和维护文档化的ISMSISMSISMSISMS的要求的要求的要求的要求l l列举可用的控制和控制目标列举可用的控制和控制目标列举可用的控制和控制目标列举可用的控制和控制目标l l是依照是依照是依照是依照BS7799BS7799BS7799BS7799对组织的对组织的对组织的对组织的ISMSISMSISMSISMS进进进进行评估认证的基础行评估认证的基础行评估认证的基础行评估认证的基础Part Part 2 2 ––信息安全管理信息安全管理体系规范体系规范包含用于审计的需求规包含用于审计的需求规范，可形成度量组织范，可形成度量组织ISMSISMS的基准。

的基准BS 7799-ISO2700190BS7799-2简介简介u BS 7799标准对信息安全管理体系（标准对信息安全管理体系（ISMS）并没有一个明确的定义，可以将）并没有一个明确的定义，可以将其理解为组织管理体系的一部分其理解为组织管理体系的一部分u ISMS涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包涉及到的内容：用于组织信息资产风险管理、确保组织信息安全的、包括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、括为制定、实施、评审和维护信息安全策略所需的组织机构、目标、职责、程序、过程和资源过程和资源u 标准要求的标准要求的ISMS建立过程：制定信息安全策略，确定体系范围，明确管理职建立过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式责，通过风险评估确定控制目标和控制方式u 体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性体系一旦建立，组织应该按规定要求进行运作，保持体系的有效性u ISMS应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的应形成一定的文档，包括策略、适用性声明文件和实施安全控制所需的程序文件。

程序文件u 一个文档化的一个文档化的ISMS应该阐述：要保护的资产，组织进行风险管理的途径，控应该阐述：要保护的资产，组织进行风险管理的途径，控制目标和控制方式，需要的保障程度制目标和控制方式，需要的保障程度8.1.4 信息安全管理体系规范信息安全管理体系规范91建立ISMS管理框架的过程定义安全策略定义安全策略定义安全策略定义安全策略威胁、弱点、影响组织风险管理的途径要求达到的保障程度BS7799-2第三段列出的控制目标和控制不在BS7799范围内的其他安全控制Step 1Step 1Step 2Step 2Step 3Step 3Step 4Step 4Step 5Step 5Step 6Step 6策略文档ISMS的范围风险评估适用性声明信息资产结果和结论选定的控制选项选择的控制目标和控制定义定义定义定义ISMSISMS范围范围范围范围进行风险评估进行风险评估进行风险评估进行风险评估管理风险管理风险管理风险管理风险选择控制目标和选择控制目标和选择控制目标和选择控制目标和控制并加以实施控制并加以实施控制并加以实施控制并加以实施准备适用性声明准备适用性声明准备适用性声明准备适用性声明8.1.4 信息安全管理体系规范信息安全管理体系规范92Ü总结总结BS 7799的特点的特点lBS 7799并不是系统安全评估的标准并不是系统安全评估的标准l没有提供具体的等级评价标准，并不能作为信息系统安全评估的依据，这和没有提供具体的等级评价标准，并不能作为信息系统安全评估的依据，这和CC等等其他评估标准是不同的其他评估标准是不同的lBS 7799针对的是信息安全管理，强调连续性，并以控制为手段针对的是信息安全管理，强调连续性，并以控制为手段l所有的安全控制手段都是为构建所有的安全控制手段都是为构建ISMS服务的服务的l该标准告诉我们要做什么，但并不限定具体实现的方法和技术该标准告诉我们要做什么，但并不限定具体实现的方法和技术lBS 7799提出了可供认证的提出了可供认证的ISMS（目标），而具体实现这一目标的某些活动，比（目标），而具体实现这一目标的某些活动，比如风险评估和控制的选择，则可以参照如风险评估和控制的选择，则可以参照ISO 13335这样的信息安全管理指南这样的信息安全管理指南l属于风险管理的范畴属于风险管理的范畴lISMS是基于风险评估来建立的，经过了风险评估、风险管理和风险接受三个阶段，是基于风险评估来建立的，经过了风险评估、风险管理和风险接受三个阶段，并且实现可用性和安全性、投入和效益的平衡并且实现可用性和安全性、投入和效益的平衡l体现了预防为主的思想，强调全过程和动态的控制体现了预防为主的思想，强调全过程和动态的控制l事先预防，将风险控制在可接受范围内，并且在事先预防，将风险控制在可接受范围内，并且在ISMS的全过程中根据新情况调整，的全过程中根据新情况调整，进行动态控制进行动态控制8.1.4 信息安全管理体系规范信息安全管理体系规范938.2 风险评估风险评估ÜÜ风险管理是系统安全运行的必要保障。

而风险评估是风险管风险管理是系统安全运行的必要保障而风险评估是风险管风险管理是系统安全运行的必要保障而风险评估是风险管风险管理是系统安全运行的必要保障而风险评估是风险管理的基础，在理的基础，在理的基础，在理的基础，在APPDRRAPPDRR模型中，评估是首要完成的工作模型中，评估是首要完成的工作模型中，评估是首要完成的工作模型中，评估是首要完成的工作Ü风险评估的定义风险评估的定义l信息安全风险评估，是指依据国家有关信息安全技术标准，信息安全风险评估，是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储信息的保密性、完整对信息系统及由其处理、传输和存储信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险可能性和负面影响的程度来识别信息系统的安全风险94Ü风险评估的意义风险评估的意义l是信息安全保障体系建立过程中的重要评价方法和决是信息安全保障体系建立过程中的重要评价方法和决策机制策机制l功能：识别信息系统中存在的风险；为确立信息系统功能：识别信息系统中存在的风险；为确立信息系统安全等级提供参考；指导信息系统的安全管理；为执安全等级提供参考；指导信息系统的安全管理；为执法部门监督提供参考；信息系统建设完成后，验收时法部门监督提供参考；信息系统建设完成后，验收时用于参考；为信息系统业务发生变更时提供安全参考用于参考；为信息系统业务发生变更时提供安全参考l l风险评估是分析确定风险的过程；是信息安全建设的风险评估是分析确定风险的过程；是信息安全建设的风险评估是分析确定风险的过程；是信息安全建设的风险评估是分析确定风险的过程；是信息安全建设的起点和基础；是需求主导和突出重点原则的具体体现；起点和基础；是需求主导和突出重点原则的具体体现；起点和基础；是需求主导和突出重点原则的具体体现；起点和基础；是需求主导和突出重点原则的具体体现；重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验重视风险评估是信息化比较发达的国家的基本经验8.2 风险评估风险评估95Ü首先是风险评估的准备阶段，首先是风险评估的准备阶段，进行组织、技术、人员和资金进行组织、技术、人员和资金方面的准备方面的准备Ü第二步对风险评估要素的识别第二步对风险评估要素的识别与赋值与赋值l对信息资产进行识别，并对资对信息资产进行识别，并对资产赋值产赋值l对威胁进行分析，并对威胁发对威胁进行分析，并对威胁发生的可能性赋值生的可能性赋值l识别信息资产的脆弱性，并对识别信息资产的脆弱性，并对弱点的严重程度赋值弱点的严重程度赋值l根据威胁和脆弱性计算安全事根据威胁和脆弱性计算安全事件发生的可能性件发生的可能性l结合信息资产的重要性和在此结合信息资产的重要性和在此资产上发生安全事件的可能性资产上发生安全事件的可能性计算信息资产的风险值计算信息资产的风险值Ü第三步记录风险评估的结果第三步记录风险评估的结果Ü第四步风险控制和残余风险的第四步风险控制和残余风险的再评估再评估l实施风险管理实施风险管理2. 风险评风险评估的基本估的基本流程流程96l数据获取手段数据获取手段§流程调查、技术资料、资料分析、工具分析、现场调查、相流程调查、技术资料、资料分析、工具分析、现场调查、相关人员询问、会议关人员询问、会议l采用的工具采用的工具§授权书、服务确认书、设备、系统检查记录、漏洞扫描工具、授权书、服务确认书、设备、系统检查记录、漏洞扫描工具、完整性检查工具、渗透性测试工具、网管软件、流量分析工完整性检查工具、渗透性测试工具、网管软件、流量分析工具、数据汇总处理工具具、数据汇总处理工具§取得评估方授权取得评估方授权8.2 风险评估风险评估97Ü评估技术方法评估技术方法l定量评估方法定量评估方法l是指运用数量指标来对风险进行评估，典型的定量分析方法有是指运用数量指标来对风险进行评估，典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法、因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。

决策树法等l目标是试图为在风险评估和成本效益分析期间收集的各个组成目标是试图为在风险评估和成本效益分析期间收集的各个组成部分计算客观数字值部分计算客观数字值l优点：用直观数据来表述评估结构，看起来比较客观研究结优点：用直观数据来表述评估结构，看起来比较客观研究结果更科学、更严密、更深刻果更科学、更严密、更深刻l缺点：没有正式严格的方法有效计算资产和控制措施的价值，缺点：没有正式严格的方法有效计算资产和控制措施的价值，数字是估计出来的数字是估计出来的8.2 风险评估风险评估98l定性评估方法定性评估方法l依据研究者的知识、经验、历史教训、政策走向及特殊变例等依据研究者的知识、经验、历史教训、政策走向及特殊变例等非量化资料对系统风险状况做出判断的过程非量化资料对系统风险状况做出判断的过程l以对调查对象深入访谈的个案记录为基本资料，然后通过理论以对调查对象深入访谈的个案记录为基本资料，然后通过理论推导的分析框架对资料进行编码整理，做出调查结论推导的分析框架对资料进行编码整理，做出调查结论l典型的定性评估方法包括典型的定性评估方法包括:因素分析法、逻辑分析法、历史比较因素分析法、逻辑分析法、历史比较法、德尔斐法法、德尔斐法l定性法以相对值代替绝对值，通常通过调查表、讨论会的形式定性法以相对值代替绝对值，通常通过调查表、讨论会的形式进行评估进行评估l优点：克服了为资产价值、控制成本等精确计算的挑战，流程优点：克服了为资产价值、控制成本等精确计算的挑战，流程对员工没有太高的要求，所以所用时间较短对员工没有太高的要求，所以所用时间较短l缺点：数字是含糊的，依赖评估者的主观性，所以对主要评估缺点：数字是含糊的，依赖评估者的主观性，所以对主要评估者的要求较高者的要求较高l定量与定性结合的评估方法定量与定性结合的评估方法8.2 风险评估风险评估99l安全评估的分层分析法安全评估的分层分析法l在评估风险和制定安全措施时，需要有一套较完整的风险分析在评估风险和制定安全措施时，需要有一套较完整的风险分析方法和安全措施，可以通过对系统划分层次来进行安全评估方法和安全措施，可以通过对系统划分层次来进行安全评估l将风险分散到整个信息系统各个层面，从系统和应用的角度看，将风险分散到整个信息系统各个层面，从系统和应用的角度看，信息系统安全因素可以被划分到如下五个层次的安全中去：信息系统安全因素可以被划分到如下五个层次的安全中去：§物理层安全、网络层安全、系统层安全、应用层安全、管理层安全，物理层安全、网络层安全、系统层安全、应用层安全、管理层安全，不同层次包含了不同的安全问题不同层次包含了不同的安全问题l依据五个层次进行风险分析得到风险点能够含盖整个信息系统，依据五个层次进行风险分析得到风险点能够含盖整个信息系统，不遗漏大的风险点，清楚的描述风险点的位置及相互关系不遗漏大的风险点，清楚的描述风险点的位置及相互关系§参见参见BS7799风险评估标准风险评估标准8.2 风险评估风险评估100Ü第五章第五章l l1. 1. 试述操作系统可信计算基的核心机制试述操作系统可信计算基的核心机制试述操作系统可信计算基的核心机制试述操作系统可信计算基的核心机制“ “参照监视器参照监视器参照监视器参照监视器” ”的模型，它和安全内核之间有什么关系的模型，它和安全内核之间有什么关系的模型，它和安全内核之间有什么关系的模型，它和安全内核之间有什么关系l l2. 2. 安全内核的实现有那两种情况安全内核的实现有那两种情况安全内核的实现有那两种情况安全内核的实现有那两种情况l l3. 3. 四种隔离控制的含义和作用四种隔离控制的含义和作用四种隔离控制的含义和作用四种隔离控制的含义和作用l l4. 4. 试述在操作系统内存保护技术中多道程序保护技术的试述在操作系统内存保护技术中多道程序保护技术的试述在操作系统内存保护技术中多道程序保护技术的试述在操作系统内存保护技术中多道程序保护技术的方法是？方法是？方法是？方法是？l l5. 5. 操作系统中审计点的设置应该满足什么条件？操作系统中审计点的设置应该满足什么条件？操作系统中审计点的设置应该满足什么条件？操作系统中审计点的设置应该满足什么条件？ÜÜ第六章第六章第六章第六章l lOSIOSI安全体系结构中安全体系结构中安全体系结构中安全体系结构中5 5类安全服务包括哪些类安全服务包括哪些类安全服务包括哪些类安全服务包括哪些101Ü第第7章章l l1.Web1.Web安全控制的基本框架包括哪三个要点安全控制的基本框架包括哪三个要点安全控制的基本框架包括哪三个要点安全控制的基本框架包括哪三个要点l l2. 2. 什么是什么是什么是什么是CookieCookie，优缺点是什么，优缺点是什么，优缺点是什么，优缺点是什么l l3. 3. 在在在在DBMSDBMS的完整性控制中，什么是的完整性控制中，什么是的完整性控制中，什么是的完整性控制中，什么是“ “触发器触发器触发器触发器” ”？它有何作用？它？它有何作用？它？它有何作用？它？它有何作用？它的两阶段提交是指什么，这样做有什么好处？的两阶段提交是指什么，这样做有什么好处？的两阶段提交是指什么，这样做有什么好处？的两阶段提交是指什么，这样做有什么好处？l l4. 4. 数据库中为什么需要数据库中为什么需要数据库中为什么需要数据库中为什么需要“ “并发控制并发控制并发控制并发控制” ”机制？如何用封锁机制保持机制？如何用封锁机制保持机制？如何用封锁机制保持机制？如何用封锁机制保持数据的一致性？读数据的一致性？读数据的一致性？读数据的一致性？读“ “脏脏脏脏” ”数据数据数据数据(Dirty Read)(Dirty Read)是什么情况是什么情况是什么情况是什么情况l5. 数据库恢复的实现技术包括哪三种，其中安全性最高的是哪一数据库恢复的实现技术包括哪三种，其中安全性最高的是哪一种？种？Ü第第8章章l制定信息安全管理体系规范和实施细则可以遵循什么标准？制定信息安全管理体系规范和实施细则可以遵循什么标准？102 谢谢！谢谢！103。